TEISINGUMO TEISMO (plenarinė sesija) SPRENDIMAS
2024 m. balandžio 30 d.(*)
Turinys
Teisinis pagrindas
Sąjungos teisė
Bendro pobūdžio asmens duomenų apsaugos teisės aktai
– Direktyva 95/46/EB
– BDAR
Konkretiems sektoriams taikomi asmens duomenų apsaugos teisės aktai
– Direktyva 2002/58
– Direktyva (ES) 2016/680
Teisės aktai, susiję su intelektinės nuosavybės teisių apsauga
Prancūzijos teisė
CPI
Dekretas Nr. 2010 236
Pašto ir elektroninių ryšių kodeksas
Pagrindinė byla ir prejudiciniai klausimai
Dėl prejudicinių klausimų
Pirminės pastabos
Dėl viešosios valdžios institucijos prieigos prie civilinės tapatybės duomenų, atitinkančių elektroninių ryšių paslaugų teikėjų saugomus IP adresus, siekiant kovoti su internete padarytu teisių pažeidimu, pateisinimo pagal Direktyvos 2002/58 15 straipsnio 1 dalį
Dėl reikalavimų, susijusių su elektroninių ryšių paslaugų teikėjų atliekamu civilinės tapatybės duomenų ir juos atitinkančių IP adresų saugojimu
Dėl prieigos prie civilinės tapatybės duomenų, atitinkančių elektroninių ryšių paslaugų teikėjų saugomus IP adresus, reikalavimų
Dėl reikalavimo, kad teismas arba nepriklausoma administracinė institucija atliktų kontrolę prieš suteikiant valdžios institucijai prieigą prie IP adresą atitinkančių civilinės tapatybės duomenų
Dėl reikalavimų, susijusių su materialinėmis ir procedūrinėmis sąlygomis ir garantijomis nuo piktnaudžiavimo pavojaus, taip pat nuo bet kokios neteisėtos prieigos prie šių duomenų ir bet kokio neteisėto jų naudojimo, taikomų tam, kad valdžios institucija galėtų susipažinti su IP adresą atitinkančiais civilinės tapatybės duomenimis
Dėl bylinėjimosi išlaidų
„Prašymas priimti prejudicinį sprendimą – Asmens duomenų tvarkymas ir privataus gyvenimo apsauga elektroninių ryšių sektoriuje – Direktyva 2002/58/EB – Elektroninių pranešimų konfidencialumas – Apsauga – 5 straipsnis ir 15 straipsnio 1 dalis – Europos Sąjungos pagrindinių teisių chartija – 7, 8 ir 11 straipsniai, 52 straipsnio 1 dalis – Nacionalinės teisės aktai, kuriais viešosios valdžios institucijos veiksmais siekiama kovoti su internete padarytais intelektinės nuosavybės teisių pažeidimais – Vadinamoji „laipsniško reagavimo“ procedūra – Išankstinis teisių turėtojų organizacijų atliekamas IP adresų, naudojamų autorių teises ar gretutines teises pažeidžiančiai veiklai, rinkimas – Už autorių teisių ir gretutinių teisių apsaugą atsakingos valdžios institucijos vėliau turima prieiga prie civilinės tapatybės duomenų, atitinkančių elektroninių ryšių paslaugų teikėjų saugomus IP adresus – Automatizuotas duomenų tvarkymas – Išankstinės kontrolės, kurią atliktų teismas arba nepriklausoma administracinė institucija, reikalavimas – Materialinės ir procedūrinės sąlygos – Apsauga nuo piktnaudžiavimo pavojų ir nuo bet kokios neteisėtos prieigos prie šių duomenų ar jų neteisėto naudojimo“
Byloje C‑470/21
dėl Conseil d’État (Valstybės Taryba, Prancūzija) 2021 m. liepos 5 d. sprendimu, kurį Teisingumo Teismas gavo 2021 m. liepos 30 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
prieš
Ministrą pirmininką
Kultūros ministrą,
TEISINGUMO TEISMAS (plenarinė sesija),
kurį sudaro pirmininkas K. Lenaerts, pirmininko pavaduotojas L. Bay Larsen, kolegijų pirmininkai A. Arabadjiev, A. Prechal (pranešėja), K. Jürimäe, C. Lycourgos, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra ir Z. Csehi, teisėjai M. Ilešič, J.‑C. Bonichot, S. Rodin, P. G. Xuereb, L. S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele, J. Passer, D. Gratsias, M. L. Arastey Sahún ir M. Gavalec,
generalinis advokatas M. Szpunar,
posėdžio sekretorės V. Giacobbo ir M. Krausenböck, administratorės,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2022 m. liepos 5 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ir French Data Network atstovaujamų avocat A. Fitzjean Ó Cobhthaigh,
– Prancūzijos vyriausybės, atstovaujamos A. Daniel, A.‑L. Desjonquères ir J. Illouz,
– Danijos vyriausybės, atstovaujamos J. F. Kronborg ir V. Pasternak Jørgensen,
– Estijos vyriausybės, atstovaujamos, M. Kriisa,
– Suomijos vyriausybės, atstovaujamos H. Leppo,
– Švedijos vyriausybės, atstovaujamos H. Shev ir O. Simonsson,
– Norvegijos vyriausybės, atstovaujamos F. Bergsjø, S.‑E. Dahl, J. T. Kaasin ir P. Wennerås,
– Europos Komisijos, atstovaujamos S. L. Kalėdos, H. Kranenborg, P.‑J. Loewenthal ir F. Wilman,
susipažinęs su 2022 m. spalio 27 d. posėdyje pateikta generalinio advokato išvada,
atsižvelgęs į 2023 m. kovo 23 d. nutartį atnaujinti žodinę proceso dalį ir įvykus 2023 m. gegužės 15 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ir French Data Network atstovaujamų avocat A. Fitzjean Ó Cobhthaigh,
– Prancūzijos vyriausybės, atstovaujamos R. Bénard, J. Illouz ir T. Stéhelin,
– Čekijos vyriausybės, atstovaujamos T. Suchá ir J. Vláčil,
– Danijos vyriausybės, atstovaujamos J. F. Kronborg ir C. A.‑S. Maertens,
– Estijos vyriausybės, atstovaujamos, M. Kriisa,
– Airijos, atstovaujamos Chief State Solicitor M. Browne, A. Joyce ir D. O’Reilly, padedamų BL D. Fenelly,
– Ispanijos vyriausybės, atstovaujamos A. Gavela Llopis,
– Kipro vyriausybės, atstovaujamos I. Neophytou,
– Latvijos vyriausybės, atstovaujamos J. Davidoviča ir K. Pommere,
– Nyderlandų vyriausybės, atstovaujamos E. M. Besselink, K. Bultermann ir A. Hanje,
– Suomijos vyriausybės, atstovaujamos A. Laine ir H. Leppo,
– Švedijos vyriausybės, atstovaujamos H. Shev,
– Norvegijos vyriausybės, atstovaujamos E. Dahl ir P. Wennerås,
– Europos Komisijos, atstovaujamos S. L. Kalėdos, H. Kranenborg, P.‑J. Loewenthal ir F. Wilman,
– Europos duomenų apsaugos priežiūros pareigūno, atstovaujamo V. Bernardo, C.‑A. Marnier, D. Nardi ir M. Pollmann,
– Europos Sąjungos kibernetinio saugumo agentūros, atstovaujamos A. Bourka,
susipažinęs su 2023 m. rugsėjo 28 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą iš esmės pateiktas dėl 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002, p. 37; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 514), iš dalies pakeistos 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/136/EB (OL L 337, 2009, p. 11) (toliau – Direktyva 2002/58), siejamos su Europos Sąjungos pagrindinių teisių chartija (toliau – Chartija) išaiškinimo.
2 Šis prašymas pateiktas nagrinėjant asociacijų La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ir French Data Network ginčą su Ministru Pirmininku (Prancūzija) ir Kultūros ministru (Prancūzija) dėl décret n o 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé „Système de gestion des mesures pour la protection des œuvres sur internet“ (2010 m. kovo 5 d. Dekretas Nr. 2010‑236 dėl automatizuoto asmens duomenų tvarkymo, leidžiamo pagal Intelektinės nuosavybės kodekso L. 331‑29 straipsnį „Kūrinių apsaugos internete priemonių administravimo sistema“, JORF, Nr. 56, 2010 m. kovo 7 d., tekstas Nr. 19), iš dalies pakeisto décret n o 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (2017 m. gegužės 6 d. Dekretas Nr. 2017‑924 dėl teisių administravimo institucijos atliekamo autorių teisių ir gretutinių teisių administravimo, kuriuo iš dalies keičiamas Intelektinės nuosavybės kodeksas, JORF, Nr. 109, 2017 m. gegužės 10 d., tekstas Nr. 176) (toliau – Dekretas Nr. 2010‑236), teisėtumo.
Teisinis pagrindas
Sąjungos teisė
Bendro pobūdžio asmens duomenų apsaugos teisės aktai
– Direktyva 95/46/EB
3 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) II skyriaus II skirsnyje „Duomenų tvarkymo teisėtumo kriterijai“ esantis 7 straipsnis buvo suformuluotas taip:
„Valstybės narės numato, kad asmens duomenis galima tvarkyti tik tuo atveju, jeigu:
<…>
f) tvarkyti reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (šalys), kurioms atskleidžiami duomenys, išskyrus atvejus, kai duomenų subjekto, kuriam pagal 1 straipsnio 1 dalį reikalinga apsauga, teisės ir laisvės yra viršesnės nei šie interesai.“
4 Minėtos direktyvos 13 straipsnio 1 dalyje buvo nurodyta:
„Valstybės narės gali priimti teisines [teisėkūros] priemones, kad apribotų 6 straipsnio 1 dalyje, 10 straipsnyje, 11 straipsnio 1 dalyje bei 12 ir 21 straipsniuose numatytų prievolių ir teisių mastą, kai toks apribojimas yra reikalinga apsaugos priemonė norint užtikrinti:
<…>
g) duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą.“
– BDAR
5 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 2 straipsnio „Materialinė taikymo sritis“ 1 ir 2 dalyse nustatyta:
„1. Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.
2. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:
<…>
d) duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.“
6 BDAR 4 straipsnyje „Apibrėžtys“ numatyta:
„Šiame reglamente:
1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); <…>
2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
<…>“
7 Šio reglamento 6 straipsnio „Tvarkymo teisėtumas“ 1 dalyje nustatyta:
„Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
<…>
f) tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni <…>
Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.“
8 Šio reglamento 9 straipsnio „Specialių kategorijų asmens duomenų tvarkymas“ 2 dalies e ir f punktuose numatyta, kad draudimas tvarkyti tam tikrus asmens duomenis, kuriais, be kita ko, atskleidžiami duomenys apie fizinio asmens lytinį gyvenimą ar seksualinę orientaciją, netaikomas, kai tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai arba kurie yra reikalingi, be kita ko, konstatuoti, vykdyti arba apginti teisinius reikalavimus.
9 BDAR 23 straipsnio „Apribojimai“ 1 dalyje nustatyta:
„Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:
<…>
i) duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą;
j) civilinių ieškinių vykdymo užtikrinimą.“
Konkretiems sektoriams taikomi asmens duomenų apsaugos teisės aktai
– Direktyva 2002/58
10 Direktyvos 2002/58 2, 6, 7, 11, 26 ir 30 konstatuojamosiose dalyse nurodyta:
„(2) Šia direktyva siekiama gerbti pagrindines žmogaus teises ir laikomasi [Chartijos] principų; visų pirma šia direktyva siekiama užtikrinti visapusišką pagarbą minėtos Chartijos 7 ir 8 straipsniuose išdėstytoms teisėms.
<…>
(6) Internetas keičia tradicines rinkos struktūras sukurdamas bendrą, pasaulinę infrastruktūrą įvairioms elektroninių ryšių paslaugoms teikti. Viešai prieinamos elektroninių ryšių interneto paslaugos atveria naujas galimybes naudotojams, bet dėl jų taip pat iškyla [nauja] rizika asmens duomenims ir privatumui.
(7) Viešiesiems ryšių tinklams reikėtų nustatyti specifines teisines, normines ir technines nuostatas, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės bei juridinių asmenų teisėti interesai, visų pirma dėl didėjančių automatinio duomenų, susijusių su abonentais ir naudotojais, kaupimo ir tvarkymo pajėgumų.
<…>
(11) Ši direktyva, kaip ir Direktyva [95/46], nenagrinėja pagrindinių teisių ir laisvių apsaugos klausimų, susijusių su veiklos rūšimis, kurių nereglamentuoja Bendrijos teisės aktai. Todėl ji nekeičia esamos pusiausvyros tarp fizinio asmens teisės į privatumą ir valstybių narių galimybės imtis šios direktyvos 15 straipsnio 1 dalyje nurodytų priemonių, kurių reikia užtikrinti visuomenės saugumą, gynybą, valstybės saugumą (įskaitant valstybės ekonominę gerovę, kai veiklos rūšys yra susijusios su valstybės saugumo klausimais) ir baudžiamosios teisės vykdymu. Tokiu būdu ši direktyva neturi jokio poveikio valstybių narių galimybėms teisėtu būdu perimti elektroninių ryšių pranešimus arba imtis kitų priemonių, kurių reikia minėtiems tikslams pasiekti laikantis Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos [pasirašytos Romoje 1950 m. lapkričio 4 d.], [kaip ją savo sprendimuose yra išaiškinęs Europos Žmogaus Teisių Teismas]. Tokios priemonės turi būti tinkamos, griežtai atitinkančios siekiamą tikslą ir būtinos demokratinėje visuomenėje, taip pat joms turi būti taikoma tinkama apsaugos garantija pagal Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvenciją.
<…>
(26) Su abonentais susiję duomenys, kurie yra tvarkomi elektroninių ryšių tinkluose sujungimų ir informacijos perdavimo tikslais, apima duomenis apie fizinių asmenų privatų gyvenimą ir susiję su jų teise į susirašinėjimo slaptumą arba susiję su teisėtais juridinių asmenų interesais. Tokie duomenys saugotini tiek, kiek jie reikalingi sąskaitoms pateikti ir sumokėti už tinklų sujungimus, ir tik ribotą laiko tarpą. Jeigu vėliau <…> pageidauja tvarkyti šiuos duomenis <…> tai leidžiama tik abonentui sutikus, kuris apsisprendžia, remdamasis tikslia ir išsamia informacija iš [elektroninių ryšių paslaugų] teikėjo apie numatomus duomenų tolimesnio tvarkymo būdus, apie abonento teisę nesutikti arba panaikinti duotą sutikimą tvarkyti tokius duomenis. <…>
<…>
(30) Elektroninių ryšių tinklų ir paslaugų teikimo sistemos turi būti suprojektuotos taip, kad reikalingas asmens duomenų kiekis būtų griežtai apribotas iki minimumo. <…>“
11 Direktyvos 2002/58 2 straipsnyje „Sąvokų apibrėžimai“ nurodyta:
„<…>
Šioje direktyvoje:
a) „naudotojas“ – tai bet kuris fizinis asmuo, vartojantis viešai prieinamą elektroninių ryšių paslaugą privačiais ar verslo tikslais, ir nebūtinai tai darantis išankstinio paslaugos užsakymo būdu;
b) „srauto duomenys“ – tai duomenys, tvarkomi pranešimui perduoti elektroninių ryšių tinklu, taip pat sąskaitoms už tokį perdavimą pateikti;
c) „vietos nustatymo duomenys“ – tai elektroninių ryšių tinkluose tvarkomi duomenys, nurodantys viešai prieinamų elektroninių ryšių paslaugų naudotojo galinių įrenginių geografinę padėtį;
<…>“
12 Šios direktyvos 3 straipsnyje „Paslaugos“ nustatyta:
„Ši direktyva taikoma asmens duomenų tvarkymui, susijusiam su viešųjų elektroninių ryšių paslaugų teikimu viešaisiais ryšių tinklais Bendrijoje, įskaitant viešuosius ryšių tinklus, palaikančius duomenų rinkimo ir atpažinimo įrenginius.“
13 Minėtos direktyvos 5 straipsnyje „Pranešimų konfidencialumas“ nurodyta:
„1. Valstybės narės užtikrina pranešimų ir su jais susijusių srauto duomenų, perduodamų per viešųjų ryšių tinklą ir teikiant viešai [prieinamas] elektroninių ryšių paslaugas, konfidencialumą, taikydamos nacionalinės teisės aktus. Visų pirma jos draudžia be atitinkamų naudotojų sutikimo klausytis, įrašyti, kaupti ar kitu būdu perimti bei stebėti pranešimus ir su jais susijusius srauto duomenis, išskyrus atvejus, kai tai galima teisėtai daryti pagal 15 straipsnio 1 dalį. Šios dalies nuostatos nedraudžia techninio saugojimo, būtino perduoti pranešimą nepažeidžiant konfidencialumo principo.
<…>
3. Valstybės narės užtikrina, kad saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija abonento ar naudotojo galiniame įrenginyje būtų leidžiama tik su sąlyga, jei atitinkamam abonentui ar naudotojui sutikus pagal [Direktyvą 95/46] pateikiama aiški ir išsami informacija, inter alia, apie tokio duomenų tvarkymo tikslus. <…>“
14 Tos pačios direktyvos 6 straipsnyje „Srauto duomenys“ numatyta:
„1. Su abonentais ir naudotojais susiję srauto duomenys, kuriuos tvarko ir saugo viešųjų ryšių tinklo ar viešai prieinamų elektroninių ryšių paslaugų teikėjas, turi būti sunaikinti arba pakeisti taip, kad taptų anoniminiais, kai šie duomenys nebėra reikalingi pranešimui perduoti, jeigu nepažeidžiamos šio straipsnio 2, 3 ir 5 dalių ir 15 straipsnio 1 dalies nuostatos.
2. Srauto duomenys gali būti tvarkomi, kai reikia abonentams pateikti sąskaitas ir atsiskaityti už tinklų sujungimą. Toks tvarkymas leistinas tol, kol nepasibaigęs terminas, per kurį sąskaita gali būti teisėtai užginčyta ar išieškotas apmokėjimas.
3. Elektroninių ryšių paslaugų rinkodaros arba pridėtinės vertės paslaugų teikimo tikslais viešųjų elektroninių ryšių paslaugų teikėjas gali tvarkyti 1 dalyje nurodytus duomenis tokia apimtimi ir tiek laiko, kiek būtina tokių paslaugų teikimui ar rinkodarai, jeigu abonentas ar naudotojas, su kuriuo duomenys yra susiję, yra iš anksto davęs sutikimą. Naudotojams ar abonentams sudaroma galimybė bet kuriuo metu atšaukti duotą sutikimą srauto duomenims tvarkyti.
<…>
5. Tvarkyti srauto duomenis pagal šio straipsnio 1, 2, 3 ir 4 dalis leidžiama tik asmenims, kurie veikdami pagal viešųjų ryšių tinklų ar viešai prieinamų elektroninių ryšių paslaugų teikėjų įgaliojimą pateikia sąskaitas, valdo srautą, teikia informaciją klientams, nustato sukčiavimo atvejus, vykdo elektroninių ryšių paslaugų rinkodarą arba teikia pridėtinės vertės paslaugas. Šie asmenys gali atlikti tik tokius veiksmus, kurie yra būtini minėtos veiklos tikslams pasiekti.“
15 Direktyvos 2002/58 15 straipsnio „Kai kurių [Direktyvos 95/46] nuostatų taikymas“ 1 dalyje nurodyta:
„1. Valstybės narės gali patvirtinti teisines [teisėkūros] priemones, ribojančias šios direktyvos 5 ir 6 straipsniuose, 8 straipsnio 1, 2, 3 ir 4 dalyse ir 9 straipsnyje nustatytų teisių ir pareigų taikymą, jeigu toks ribojimas yra būtina, tinkama ir adekvati [proporcinga] demokratinės visuomenės [demokratinėje visuomenėje] priemonė, skirta apsaugoti nacionalinį saugumą (t. y. valstybės saugumą), gynybą, visuomenės saugumą, taip užkardant, tiriant ir nustatant baudžiamąsias veikas ar neteisėtą elektroninių ryšių sistemos naudojimą [taip pat užtikrinti baudžiamųjų veikų ar neteisėto elektroninių ryšių sistemos naudojimo prevenciją, tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas], kaip nurodyta Direktyvos [95/46] 13 straipsnio 1 dalyje. Valstybės narės gali, inter alia, patvirtinti teisines [teisėkūros] priemones, leidžiančias ribotą laikotarpį saugoti duomenis, remiantis šioje dalyje nustatytais motyvais. Visos šioje dalyje nurodytos priemonės turi atitikti bendruosius Bendrijos teisės principus, tarp jų ir nurodytus [ESS] 6 straipsnio 1 ir 2 dalyse.
<…>
2. Direktyvos 95/46/EB III skyriaus nuostatos dėl teisės gynimo būdų, atsakomybės ir sankcijų taikomos atsižvelgiant į pagal šią direktyvą priimtas nacionalines nuostatas bei atsižvelgiant į pagal šią direktyvą įgytas atskiras teises.
<…>“
– Direktyva (ES) 2016/680
16 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016, p. 89) 1 straipsnio „Dalykas ir tikslai“ 1 dalyje nustatyta:
„Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.“
17 Minėtos direktyvos 3 straipsnyje „Apibrėžtys“ numatyta:
„Šioje direktyvoje:
<…>
7. kompetentinga institucija –
a) bet kokia valdžios institucija, kompetentinga nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais; arba
b) bet kokia kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais;
<…>“
Teisės aktai, susiję su intelektinės nuosavybės teisių apsauga
18 2004 m. balandžio 29 d. Europos Parlamento ir Tarybos direktyvos 2004/48/EB dėl intelektinės nuosavybės teisių gynimo (OL L 157, 2004, p. 45; 2004 m. specialusis leidimas lietuvių k., 17 sk., 2 t., p. 32) 8 straipsnyje „Teisė gauti informaciją“ nustatyta:
„1. Valstybės narės užtikrina, kad, vykstant procesui dėl intelektinės nuosavybės teisių pažeidimo ir gavus ieškovo pagrįstą ir proporcingą prašymą, kompetentingos teismo institucijos galėtų reikalauti pažeidėjo ar kito asmens <…> pateikti informaciją apie prekių ir paslaugų, pažeidžiančių intelektinės nuosavybės teises, kilmę ir platinimo kanalus.
2. Į šio straipsnio pirmoje dalyje minėtą informaciją įeina:
a) gamintojų, platintojų, tiekėjų ir kitų prekių bei paslaugų ankstesnių valdytojų, taip pat planuojamų didmenininkų ir mažmenininkų pavadinimai ir adresai;
<…>
3. Šio straipsnio 1 ir 2 dalys taikomos, nepažeidžiant kitų įstatymų nuostatų, kurios:
a) suteikia teisių turėtojui teises gauti išsamesnę informaciją;
b) reglamentuoja pagal šį straipsnį suteiktos informacijos naudojimą civiliniuose ir baudžiamuosiuose procesuose;
c) reglamentuoja atsakomybę už teisės gauti informaciją neteisingą naudojimą; arba
d) numato galimybę atsisakyti suteikti informaciją, kuri priverstų 1 dalyje minėtą asmenį prisipažinti jam pačiam ar jo artimam giminaičiui dalyvavus intelektinės nuosavybės teisių pažeidime; arba
e) reglamentuoja informacijos šaltinių [konfidencialumo apsaugą] arba asmens duomenų [tvarkymą].“
Prancūzijos teisė
CPI
19 Intelektinės nuosavybės kodekso (toliau – CPI) redakcijos, galiojusios tuo metu, kai buvo priimtas ieškovių pagrindinėje byloje ginčijamas sprendimas, L. 331‑12 straipsnyje nustatyta:
„Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Vyriausioji kūrinių platinimo ir teisių apsaugos internete valdyba, toliau – Hadopi) yra nepriklausoma viešoji institucija <…>“
20 Šio kodekso L. 331‑13 straipsnyje numatyta:
„[Hadopi] uždaviniai:
1° skatinti teisėtos pasiūlos plėtrą ir stebėti teisėtą ir neteisėtą kūrinių bei objektų, kurie elektroninių ryšių tinkluose saugomi autorių ar gretutinių teisių, naudojamų teikiant visuomenei ryšių paslaugas internetu, naudojimą;
2° užtikrinti kūrinių ir objektų, kurie elektroninių ryšių tinkluose saugomi autorių ar gretutinių teisių, apsaugą nuo šių teisių pažeidimų, padarytų elektroninių ryšių tinkluose, naudojamuose teikiant visuomenei ryšių paslaugas internetu;
<…>“
21 Minėto kodekso L. 331‑15 straipsnyje nustatyta:
„[Hadopi] sudaro valdyba ir Teisių apsaugos komitetas. <…>
<…>
Įgyvendindami savo įgaliojimus, valdybos ir Teisių apsaugos komiteto nariai negauna jokios institucijos nurodymų.“
22 Šio kodekso L. 331‑17 straipsnio pirmoje pastraipoje numatyta:
„Teisių apsaugos komitetas yra atsakingas už L. 331‑25 straipsnyje numatytų priemonių taikymą.“
23 CPI L.331-21 straipsnyje nurodyta:
„Teisių apsaugos komiteto funkcijoms vykdyti [Hadopi] pasitelkia prisaikdintus valstybės tarnautojus, kuriems [Hadopi] pirmininkas suteikia įgaliojimus, laikydamasis sąlygų, nustatytų dekrete, priimtame gavus Conseil d’État (Valstybės Taryba) nuomonę. <…>
Teisių apsaugos komiteto nariai ir pirmoje pastraipoje nurodyti tarnautojai gauna šiam komitetui teikiamus prašymus L. 331‑24 straipsnyje numatytomis sąlygomis. Jie nagrinėja faktines aplinkybes.
Jei to reikia vykstant procedūrai, jie gali gauti visus dokumentus, neatsižvelgiant į naudojamas laikmenas, įskaitant elektroninių ryšių operatorių pagal Code des postes et des communications électroniques (Pašto ir elektroninių ryšių kodeksas) L. 34‑1 straipsnį saugomus ir tvarkomus duomenis ir Loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (2004 m. birželio 21 d. Įstatymas Nr. 2004‑575 dėl pasitikėjimo skaitmenine ekonomika) 6 straipsnio I dalies 1 ir 2 punktuose nurodytų paslaugų teikėjų saugomus ir tvarkomus duomenis.
Jie taip pat gali gauti pirmesnėje pastraipoje nurodytų dokumentų kopijas.
Jie gali, be kita ko, iš elektroninių ryšių operatorių gauti abonento, kurio prieiga prie viešųjų elektroninių ryšių paslaugų buvo naudojama kūriniams ar saugomiems objektams atgaminti, atvaizduoti, padaryti prieinamus ar viešai paskelbti be teisių turėtojų leidimo <…>, kai toks leidimas reikalingas, tapatybę, pašto adresą, elektroninio pašto adresą ir telefono numerį.“
24 To paties kodekso L. 331‑24 straipsnyje nurodyta:
„Teisių apsaugos komitetas imasi veiksmų, kai į jį kreipiasi prisiekusieji ir įgaliotieji atstovai, kuriuos skiria:
– teisėtai įsteigtos profesionalios gynybos institucijos,
– kolektyvinio administravimo organizacijos,
– Centre national du cinéma et de l'image animée (Nacionalinis kino ir animacijos centras).
Teisių apsaugos komitetas taip pat gali veikti remdamasis Respublikos prokuroro jam perduota informacija.
Jis negali nagrinėti daugiau nei prieš šešis mėnesius susiklosčiusių aplinkybių.“
25 Šio kodekso L. 331‑25 straipsnyje, kuriame reglamentuojama vadinamoji „laipsniško reagavimo“ procedūra, nustatyta:
„Teisių apsaugos komitetas, sužinojęs apie faktines aplinkybes, galinčias reikšti [CPI] L. 336‑3 straipsnyje nustatytos pareigos pažeidimą, gali nusiųsti abonentui <…> rekomendaciją, kuria jam primenamos L. 336‑3 straipsnio nuostatos, nurodoma laikytis jose nustatytos pareigos ir įspėjama apie nuobaudas, gresiančias pagal L. 335‑7 ir L. 335‑7‑1 straipsnius. Šioje rekomendacijoje abonentui taip pat pateikiama informacija apie teisėtą kultūrinio turinio internete pasiūlą, saugumo užtikrinimo priemones, kuriomis siekiama užkirsti kelią L. 336‑3 straipsnyje nustatytos pareigos pažeidimams, taip pat apie veiksmų, kuriais nesilaikoma autorių ir gretutinių teisių, keliamą pavojų kūrybinės veiklos atnaujinimui ir kultūros sektoriaus ekonomikai.
Jei per šešis mėnesius nuo pirmoje pastraipoje nurodytos rekomendacijos pateikimo ir vėl pasikartoja faktinės aplinkybės, kurios gali reikšti L. 336‑3 straipsnyje apibrėžtos pareigos pažeidimą, komitetas gali elektroninėmis priemonėmis išsiųsti naują rekomendaciją, kurioje pateikiama ta pati informacija kaip ir ankstesnėje rekomendacijoje <…>. Prie šios rekomendacijos jis turi pridėti raštą, įteikiamą pasirašytinai arba bet kokiu kitu būdu, tinkamu nustatyti šios rekomendacijos pateikimo datą.
Pagal šį straipsnį parengtose rekomendacijose nurodoma data ir laikas, kada buvo užfiksuotos faktinės aplinkybės, galinčios reikšti L. 336‑3 straipsnyje nustatytos pareigos pažeidimą. Tačiau jose neatskleidžiamas saugomų kūrinių ar objektų, su kuriais šis pažeidimas susijęs, turinys. Jose nurodomas telefono numeris, adresas ir elektroniniai kontaktiniai duomenys, kuriais adresatas, jei pageidauja, gali pateikti pastabas Teisių apsaugos komitetui ir gauti, šiuo tikslu aiškiai suformulavęs prašymą, išsamią informaciją apie saugomų kūrinių ar objektų, susijusių su pažeidimu, kuriuo jis kaltinamas, turinį.“
26 CPI L. 331‑29 straipsnyje numatyta:
„[Hadopi] gali automatizuotai tvarkyti asmenų, dėl kurių pradėta procedūra pagal šį poskirsnį, asmens duomenis.
Šiuo duomenų tvarkymu siekiama, kad Teisių apsaugos komitetas įgyvendintų šiame poskirsnyje numatytas priemones, visus susijusius procedūrinius veiksmus ir informuotų profesionalios gynybos institucijas bei kolektyvinio administravimo asociacijas apie galimą kreipimąsi į teisminę instituciją, taip pat siųstų L. 335‑7 straipsnio penktoje pastraipoje numatytus pranešimus.
Dekrete <…> nustatoma šio straipsnio taikymo tvarka. Jame konkrečiai nurodoma:
– išsaugotų duomenų kategorijos ir jų saugojimo trukmė,
– adresatai, turintys teisę gauti šiuos duomenis, visų pirma asmenys, teikiantys prieigą visuomenei prie ryšių paslaugų internete,
– sąlygos, kuriomis suinteresuotieji asmenys gali pasinaudoti teise susipažinti su [Hadopi] turimais su jais susijusiais duomenimis <…>“
27 Šio kodekso L. 335‑2 straipsnio pirmoje ir antroje pastraipose nurodyta:
„Bet koks rašytinių, muzikos kūrinių, piešinių, paveikslų ar bet kokios kitos produkcijos, atspausdintos ar išgraviruotos išleidimas ar dalies jų išleidimas, nesilaikant įstatymų ir kitų teisės aktų, susijusių su autorių nuosavybės teise, yra intelektinės nuosavybės teisių pažeidimas, o bet koks intelektinės nuosavybės teisių pažeidimas yra nusikaltimas.
Už intelektinės nuosavybės teisių, susijusių su Prancūzijoje ar užsienyje paskelbtais darbais, pažeidimą Prancūzijoje baudžiama trejų metų laisvės atėmimu ir 300 000 EUR bauda.“
28 Šio kodekso L. 335‑4 straipsnio pirmoje pastraipoje numatyta:
„Bet koks atlikimo, fonogramos, videogramos, programos ar spaudos leidinio fiksavimas, atgaminimas, viešas skelbimas ar padarymas viešai prieinamo už užmokestį ar nemokamai be atlikėjo, fonogramos ar videogramos gamintojo, audiovizualinių komunikacijų bendrovės, spaudos leidėjo ar spaudos agentūros leidimo, jei tokio leidimo reikalaujama, baudžiamas trejų metų laisvės atėmimo bausme ir 300 000 eurų bauda.“
29 CPI L. 335‑7 straipsnyje nustatytos taisyklės, pagal kurias asmenims, kaltiems dėl nusikalstamų veikų, visų pirma nurodytų šio kodekso L. 335‑2 ir L. 335‑4 straipsniuose, skiriama papildoma bausmė – prieigos prie viešųjų ryšių paslaugos internetu sustabdymas ne ilgesniam kaip vienerių metų laikotarpiui.
30 Minėto kodekso L. 335‑7‑1 straipsnio pirma pastraipa suformuluota taip:
„Šiame kodekse numatytų penktos klasės pažeidimų atveju, kai tai numatyta reglamente, L. 335‑7 straipsnyje apibrėžta papildoma bausmė esant dideliam aplaidumui gali būti skirta prieigos prie viešųjų ryšių paslaugų internetu turėtojui, kuriam pagal L. 331‑25 straipsnį teisių apsaugos komitetas prieš tai pateikė (laišku, įteiktu pasirašytinai, arba bet kokiu kitu būdu, kuriuo galima įrodyti įteikimo datą) rekomendaciją, kuria jis raginamas imtis prieigos prie interneto apsaugos priemonių.“
31 To paties kodekso L. 336‑3 straipsnyje numatyta:
„Prieigos prie viešųjų ryšių paslaugų internetu turėtojas privalo užtikrinti, kad ši prieiga nebūtų naudojama autorių teisių ar gretutinių teisių saugomiems kūriniams ar objektams atgaminti, atvaizduoti, padaryti viešai prieinamus ar viešai skelbti be autorių teisių ar gretutinių teisių turėtojų leidimo <…>, kai jis reikalingas.
Jei prieigą turintis asmuo nesilaiko pirmoje pastraipoje nustatytos pareigos, suinteresuotojo asmens baudžiamosios atsakomybės nekyla.“
32 CPI R. 331‑37 straipsnio pirmoje pastraipoje numatyta:
„Elektroninių ryšių operatoriai <…> ir paslaugų teikėjai <…>, prisijungdami prie L. 331‑29 straipsnyje nurodytos automatizuoto asmens duomenų tvarkymo sistemos arba naudodamiesi įrašymo laikmena, užtikrinančia šių duomenų vientisumą ir saugumą, per aštuonias dienas nuo tada, kai Teisių apsaugos komitetas perdavė techninius duomenis, būtinus abonento, kurio prieiga prie viešųjų ryšių paslaugų internetu buvo naudojama kūriniams ar saugomiems objektams atgaminti, atvaizduoti, padaryti prieinamus ar viešai paskelbti be teisių turėtojų leidimo, kai toks leidimas reikalaujamas, privalo perduoti asmens duomenis ir [Dekreto Nr. 2010-236] priedo 2° punkte nurodytą informaciją.“
33 Šio kodekso L. 331‑40 straipsnyje nurodyta:
„Jeigu per vienus metus nuo L. 335‑7‑1 straipsnio pirmoje pastraipoje nurodytos rekomendacijos pateikimo Teisių apsaugos komitetas sužino apie naujas aplinkybes, kurios gali būti laikomos dideliu aplaidumu, kaip apibrėžta R. 335‑5 straipsnyje, jis laišku, įteiktu pasirašytinai, informuoja abonentą, kad už tokius veiksmus gali būti baudžiami. Šiuo laišku suinteresuotasis asmuo raginamas per penkiolika dienų pateikti savo pastabas. Jame nurodoma, kad per tą patį terminą gali prašyti surengti apklausą pagal L. 331‑21‑1 straipsnį ir turi teisę gauti advokato pagalbą. Jame taip pat prašoma patikslinti šeimos išlaidas ir išteklius.
Komitetas gali savo iniciatyva pakviesti suinteresuotąjį asmenį į posėdį. Kvietime nurodoma, kad jis turi teisę gauti advokato pagalbą.“
34 CPI L. 335‑5 straipsnyje numatyta:
„I. – Dideliu aplaidumu, už kurį baudžiama bauda, numatyta už penktosios kategorijos pažeidimus, laikoma veika, kai asmuo, turintis prieigą prie viešųjų ryšių paslaugų internetu, jei įvykdomos II skyriuje numatytos sąlygos, be teisėto pagrindo:
1° neįdiegė šios prieigos saugumo užtikrinimo priemonės;
2° įdiegė šią priemonę nerūpestingai.
II. – I skyriaus nuostatos taikomos tik tada, kai įvykdomos šios dvi sąlygos:
1° pagal L. 331‑25 straipsnį ir šiame straipsnyje numatytu būdu prieigos turėtojui Teisių apsaugos komitetas rekomendavo įdiegti jo prieigos saugumo užtikrinimo priemonę, kuri neleistų iš naujo naudoti prieigos autorių ar gretutinių teisių saugomiems kūriniams ar objektams atgaminti, atvaizduoti, padaryti viešai prieinamus ar viešai paskelbti be teisių turėtojų leidimo, kai toks leidimas reikalingas;
2° per vienus metus nuo šios rekomendacijos pateikimo tokia prieiga vėl naudojama šios II dalies 1° punkte nurodytais tikslais.“
35 Nuo 2022 m. sausio 1 d. pagal loi n o 2021‑1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (2021 m. spalio 25 d. Įstatymas Nr. 2021‑1382 dėl prieigos prie kultūros kūrinių reguliavimo ir apsaugos skaitmeniniame amžiuje) (JORF, Nr. 250, 2021 m. spalio 26 d., tekstas Nr. 2) Hadopi buvo sujungta su Conseil supérieur de l’audiovisuel (Aukščiausioji audiovizualinės žiniasklaidos taryba, toliau – CSA), kuri yra kita nepriklausoma valdžios institucija, kad būtų įsteigta Autorité de régulation de la communication audiovisuelle et numérique (Audiovizualinių ir skaitmeninių ryšių reguliavimo tarnyba, toliau – ARCOM).
36 Vis dėlto šio sprendimo 25 punkte minėta laipsniško reagavimo procedūra iš esmės nepasikeitė, nors nuo šiol ją įgyvendina ne Hadopi teisių apsaugos komitetas, kurį sudarė trys nariai, skiriami atitinkamai Conseil d’État (Valstybės Taryba), Cour des comptes (Audito Rūmai) ir Cour de cassation (Kasacinis Teismas, Prancūzija), o du ARCOM kolegijos nariai, kurių vieną skiria Valstybės Taryba, o kitą – Kasacinis Teismas.
Dekretas Nr. 2010-236
37 Dekreto Nr. 2010‑236, priimto, be kita ko, remiantis CPI L. 331‑29 straipsniu, 1 straipsnyje numatyta:
„Asmens duomenų tvarkymu, vadinamu „Kūrinių apsaugos internete priemonių valdymo sistema“, siekiama, kad [Hadopi] teisių apsaugos komitetas:
1° įgyvendintų priemones, numatytas [CPI] norminės dalies III knygoje (III antraštinės dalies I skyriaus 3 skirsnio 3 poskirsnis) ir to paties kodekso norminės dalies III knygoje (III antraštinės dalies I skyriaus 2 skirsnio 2 poskirsnis);
2° kreiptųsi į Respublikos prokurorą dėl faktinių aplinkybių, kurios gali būti kvalifikuojamos kaip nusikalstamos veikos, numatytos to paties kodekso L. 335‑2, L. 335‑3, L. 335‑4 ir R. 335‑5 straipsniuose, taip pat informuotų profesionalios gynybos ir kolektyvinio administravimo organizacijas apie tokius kreipimusis;
<…>“
38 Šio dekreto 4 straipsnyje nurodyta:
„I. – Prisiekusieji valstybės tarnautojai, kuriuos pagal [CPI] L. 331‑21 straipsnį įgaliojo [Hadopi] prezidentas, ir 1 straipsnyje minėto Teisių apsaugos komiteto nariai turi tiesioginę prieigą prie šio dekreto priede nurodytų asmens duomenų ir informacijos.
II. – Elektroninių ryšių operatoriai ir paslaugų teikėjai, nurodyti šio dekreto priedo 2° punkte, gauna:
– techninius duomenis, reikalingus abonentui identifikuoti,
– [CPI] L. 331‑25 straipsnyje numatytas rekomendacijas, skirtas abonentams elektroninėmis priemonėmis siųsti,
– informaciją, kurią Teisių apsaugos komitetas gavo iš Respublikos prokuroro, reikalingą papildomoms nuobaudoms dėl prieigos prie viešųjų ryšių paslaugų internetu sustabdymo įgyvendinti.
III. – Profesionalios gynybos organizacijos ir kolektyvinio administravimo organizacijos yra informacijos, susijusios su kreipimusi į Respublikos prokurorą, gavėjos.
IV. – Teisminėms institucijoms pateikiami faktinių aplinkybių, kurios gali būti kvalifikuojamos kaip [CPI] L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 ir R. 335‑5 straipsniuose numatytos nusikalstamos veikos, nustatymo protokolai.
Apie sustabdymo bausmės įvykdymą pranešama automatizuotame nuosprendžių registre.“
39 Minėto dekreto priede numatyta:
„Asmens duomenys ir informacija, išsaugomi tvarkant duomenis pagal „Kūrinių apsaugos internete priemonių valdymo sistemą“, yra šie:
1° asmens duomenys ir informacija, gauta iš teisėtai sudarytų profesionalios gynybos organizacijų, kolektyvinio administravimo organizacijų, Nacionalinis kino ir animacijos centro ir Respublikos prokuroro:
dėl faktinių aplinkybių, kurios gali būti kvalifikuojamos kaip [CPI] L. 336‑3 straipsnyje nustatytos pareigos pažeidimas:
faktinių aplinkybių data ir laikas;
atitinkamų abonentų IP adresas;
naudotas lygiarangių protokolas;
abonento naudotas pseudonimas;
informacija apie saugomus kūrinius ar objektus, su kuriais susijusios faktinės aplinkybės;
abonento įrenginyje esančios rinkmenos pavadinimas (jei taikoma);
interneto prieigos paslaugų teikėjas, iš kurio buvo įsigyta prieiga arba kuris suteikė IP techninius išteklius.
<…>
2° iš elektroninių ryšių operatorių ir paslaugų teikėjų surinkti asmens duomenys ir informacija apie abonentą:
pavardė, vardai;
pašto ir el. pašto adresai;
telefono numeris;
abonento telefono įrenginio adresas;
interneto prieigos paslaugų teikėjas, naudojantis 1 punkte nurodyto prieigos teikėjo, su kuriuo abonentas sudarė sutartį, techninius išteklius;
prieigos prie viešųjų ryšių paslaugos internetu sustabdymo data.
<…>“
Pašto ir elektroninių ryšių kodeksas
40 Pašto ir elektroninių ryšių kodekso L. 34‑1 straipsnio II bis dalyje nustatyta:
„Elektroninių ryšių operatoriai privalo saugoti:
1° baudžiamojo proceso, grėsmių visuomenės saugumui prevencijos ir nacionalinio saugumo užtikrinimo tikslais – informaciją, susijusią su naudotojo civiline tapatybe, kol pasibaigs penkerių metų terminas, skaičiuojamas nuo jo sutarties galiojimo pabaigos;
2° tais pačiais tikslais, kaip ir nurodytieji šio II bis dalies 1 punkte, – kitą informaciją, kurią naudotojas pateikė pasirašydamas sutartį arba susikurdamas paskyrą, taip pat informaciją, susijusią su mokėjimais, kol pasibaigs vienų metų terminas, skaičiuojamas nuo sutarties galiojimo pabaigos arba jo paskyros uždarymo;
3° siekiant kovoti su nusikalstamumu ir sunkiais nusikaltimais, vykdyti didelių grėsmių visuomenės saugumui ir nacionalinio saugumo užtikrinimui prevenciją – techninius duomenis, leidžiančius nustatyti prisijungimo šaltinį arba susijusius su naudojamais galiniais įrenginiais, kol pasibaigs vienų metų terminas, skaičiuojamas nuo galinių įrenginių prijungimo ar naudojimo dienos.“
Pagrindinė byla ir prejudiciniai klausimai
41 Kadangi Ministras Pirmininkas netiesiogiai atmetė jų prašymą panaikinti Dekretą Nr. 2010‑236, 2019 m. rugpjūčio 12 d. pareiškėjos pagrindinėje byloje kreipėsi į Conseil d’État (Valstybės Taryba), prašydamos panaikinti šį netiesioginį sprendimą atmesti prašymą. Jos iš esmės teigė, kad CPI L. 331‑21 straipsnio trečia–penkta pastraipos, kurios yra šio dekreto teisinio pagrindo dalis, pirma, prieštarauja Prancūzijos Konstitucijoje įtvirtintai teisei į privataus gyvenimo gerbimą ir, antra, pažeidžia Sąjungos teisę, visų pirma Direktyvos 2002/58 15 straipsnį ir Chartijos 7, 8, 11 ir 52 straipsnius.
42 Dėl ieškinio aspekto, susijusio su tariamu Konstitucijos pažeidimu, Conseil d’État (Valstybės Taryba) pateikė Conseil constitutionnel (Konstitucinė Taryba, Prancūzija) prioritetinį konstitucingumo klausimą.
43 2020 m. gegužės 20 d. Sprendimu Nr. 2020‑841 QPC La Quadrature du Net ir kt. (Teisė atskleisti informaciją Hadopi) Konstitucinė Taryba pripažino CPI L. 331‑21 straipsnio trečią ir ketvirtą pastraipas prieštaraujančiomis Konstitucijai, tačiau nustatė, kad šio straipsnio penkta pastraipa, išskyrus joje esantį žodį „be kita ko“, atitinka Konstituciją.
44 Dėl ieškinio aspekto, susijusio su tariamu Sąjungos teisės pažeidimu, pareiškėjos pagrindinėje byloje visų pirma nurodė, kad pagal Dekretą Nr. 2010‑236 ir jo teisinį pagrindą sudarančias nuostatas leidžiama neproporcinga prieiga prie prisijungimo duomenų už nesunkius su autorių teisėmis susijusius pažeidimus, padarytus internete, be išankstinės teisėjo ar nepriklausomumo ir nešališkumo garantijas užtikrinančios institucijos kontrolės. Konkrečiai kalbant, šie pažeidimai nepriskiriami prie „sunkių nusikaltimų“, kurie nurodyti 2016 m. gruodžio 21 d. Sprendime Tele2 Sverige ir Watson ir kt. (C‑203/15 ir C‑698/15, EU:C:2016:970).
45 Šiuo klausimu Conseil d’État (Valstybės Taryba) primena, pirma, kad 2020 m. spalio 6 d. Sprendime La Quadrature du Net ir kt. (C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791) Teisingumo Teismas, be kita ko, konstatavo, kad pagal Direktyvos 2002/58 15 straipsnio 1 dalį, aiškinamą atsižvelgiant į Chartijos 7, 8, 11 straipsnius ir 52 straipsnio 1 dalį, nėra draudžiamos teisėkūros priemonės, kuriose nacionalinio saugumo, kovos su nusikalstamumu ir visuomenės saugumo užtikrinimo tikslais numatomas bendras ir nediferencijuotas duomenų, susijusių su elektroninių ryšių priemonių naudotojų civiline tapatybe, saugojimas. Vadinasi, kalbant apie duomenis, susijusius su elektroninių ryšių priemonių naudotojų civiline tapatybe, pažymėtina, kad toks saugojimas galimas be konkretaus termino nusikalstamų veikų tyrimo, atskleidimo ir baudžiamojo persekiojimo tikslais. Direktyva 2002/58 taip pat nedraudžia prieigos prie šių duomenų tokiais tikslais.
46 Tuo remdamasis prašymą priimti prejudicinį sprendimą pateikęs teismas daro išvadą, kad, kiek tai susiję su prieiga prie duomenų, susijusių su elektroninių ryšių priemonių naudotojų civiline tapatybe, reikia atmesti ieškovių pagrindinėje byloje pagrindą, grindžiamą tuo, kad Dekretas Nr. 2010–236 yra neteisėtas, nes priimtas kovos su nusikalstamomis veikomis, kurios nėra sunkios, tikslais.
47 Jis taip pat primena, kad 2016 m. gruodžio 21 d. Sprendime Tele2 Sverige ir Watson ir kt. (C‑203/15 ir C‑698/15, EU:C:2016:970) Teisingumo Teismas, be kita ko, konstatavo, kad Direktyvos 2002/58 15 straipsnio 1 dalis, siejama su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinama taip, kad pagal ją draudžiami nacionalinės teisės aktai, kuriais reglamentuojama srauto ir vietos nustatymo duomenų apsauga ir saugumas, ypač kompetentingų nacionalinių institucijų prieiga prie saugomų duomenų, jeigu tokiai prieigai netaikoma išankstinė teismo ar nepriklausomos administracinės institucijos kontrolė.
48 Prašymą priimti prejudicinį sprendimą pateikęs teismas konkrečiai nurodo to sprendimo 120 punktą, kuriame Teisingumo Teismas patikslino, jog labai svarbu, kad prieš suteikiant prieigą prie saugomų duomenų, išskyrus tinkamai pagrįstus skubos atvejus, teismas arba nepriklausoma administracinė institucija atliktų išankstinę kontrolę ir toks teismas ar tokia institucija savo sprendimą priimtų gavę motyvuotą kompetentingų nacionalinių institucijų prašymą, kurį jos pateiktų, be kita ko, vykdydamos nusikalstamų veikų prevencijos, atskleidimo ar baudžiamojo persekiojimo procedūras.
49 Teisingumo Teismas priminė šį reikalavimą 2020 m. spalio 6 d. Sprendime La Quadrature du Net ir kt. (C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791), kiek tai susiję su žvalgybos tarnybų realiuoju laiku renkamais prisijungimo duomenimis, taip pat 2021 m. kovo 2 d. Sprendime Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos) (C‑746/18, EU:C:2021:152) dėl nacionalinių institucijų prieigos prie prisijungimo duomenų.
50 Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat pažymi, kad nuo įsteigimo 2009 m. Hadopi pagal CPI L. 331‑25 straipsnyje numatytą laipsniško reagavimo procedūrą išsiuntė daugiau kaip 12,7 mln. rekomendacijų abonementų turėtojams, ir vien 2019 m. tokių rekomendacijų išsiųsta 827 791. Ši aplinkybė reiškia, kad Hadopi Teisių apsaugos komiteto darbuotojai kasmet turėjo surinkti nemažai duomenų, susijusių su atitinkamų naudotojų civiline tapatybe. Prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, atsižvelgiant į šių rekomendacijų kiekį, jei šiam duomenų rinkimui būtų taikoma išankstinė kontrolė, minėtų rekomendacijų teikimo gali būti neįmanoma įgyvendinti.
51 Šiomis aplinkybėmis Conseil d’État (Valstybės Taryba) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar IP adresą atitinkantys civilinės tapatybės duomenys yra vieni iš srauto ar vietos nustatymo duomenų ir jiems iš esmės taikoma teismo arba nepriklausomos administracinės institucijos, kurios sprendimas turi privalomąją galią, išankstinė kontrolė?
2. Jei į pirmąjį klausimą būtų atsakyta teigiamai, ar, atsižvelgiant į tai, kad su naudotojų civiline tapatybe susiję duomenys yra mažiau jautrūs, [Direktyva 2002/58], siejama su [Chartija], turi būti aiškinama taip, kad pagal ją draudžiami nacionalinės teisės aktai, kuriuose numatyta, kad administracinė institucija renka šiuos naudotojų IP adresą atitinkančius duomenis ir tokiu atveju netaikoma išankstinė teismo arba nepriklausomos administracinės institucijos, kurios sprendimas turi privalomąją galią, kontrolė?
3. Jei į antrąjį klausimą būtų atsakyta teigiamai, ar, atsižvelgiant į tai, kad su civiline tapatybe susiję duomenys yra mažiau jautrūs, ir į aplinkybę, kad gali būti renkami tik šie duomenys ir tik siekiant užkirsti kelią nacionalinės teisės aktuose tiksliai, išsamiai ir griežtai apibrėžtų pareigų nesilaikymui, taip pat į aplinkybę, kad teismo arba nepriklausomos administracinės institucijos, kurios sprendimas turi privalomąją galią, atliekama sisteminga prieigos prie kiekvieno naudotojo duomenų kontrolė gali trukdyti šiuos duomenis renkančiai administracinei institucijai teikti jai patikėtas viešąsias paslaugas, pagal [Direktyvą 2002/58] draudžiama šią kontrolę atlikti pritaikyta tvarka, pavyzdžiui, ją automatizuoti, o prireikus priežiūrą vykdytų tokius duomenis renkančių pareigūnų atžvilgiu nepriklausomas ir nešališkas institucijos vidaus padalinys?“
Dėl prejudicinių klausimų
52 Trimis prejudiciniais klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 2002/58 15 straipsnio 1 dalis, siejama su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinama taip, kad pagal ją draudžiami nacionalinės teisės aktai, pagal kuriuos viešosios valdžios institucijai, kuriai pavesta ginti autorių ir gretutines teises nuo pažeidimų internete, leidžiama susipažinti su viešai prieinamų elektroninių ryšių paslaugų teikėjų saugomais IP adresus atitinkančiais civilinės tapatybės duomenimis, kuriuos iš anksto surinko teisių turėtojų organizacijos, kad ši valdžios institucija galėtų nustatyti tokių adresų, naudojamų veiklai, kuri gali būti pripažinta pažeidimu, turėtojus, ir prireikus imtis priemonių jų atžvilgiu, nereikalaujant, kad prieš tai teismas ar nepriklausoma administracinė institucija atliktų tokios prieigos kontrolę.
Pirminės pastabos
53 Pagrindinėje byloje nagrinėjamos dvi atskiros, viena po kitos einančios asmens duomenų tvarkymo operacijos, atliekamos nepriklausomai viešosios valdžios institucijai Hadopi, kurios užduotis, be kita ko, pagal CPI L. 331‑13 straipsnį yra apsaugoti kūrinius ir objektus, kuriems taikomos autorių teisės ar gretutinės teisės, nuo šių teisių pažeidimų elektroninių ryšių tinkluose, naudojamuose teikiant visuomenei ryšių paslaugas internetu, vykdant veiklą.
54 Pirmoji duomenų tvarkymo operacija, kurią iš anksto atlieka prisiekę ir akredituoti teisių turėtojų organizacijų pareigūnai, vyksta dviem etapais. Iš pradžių lygiarangių tinkluose renkami IP adresai, kurie, atrodo, buvo naudojami veiklai, galimai pažeidžiančiai autorių ar gretutines teises. Antra, visi asmens duomenys ir informacija protokolų pavidalu pateikiami Hadopi. Pagal Dekreto Nr. 2010‑236 priedo 1 punkte pateiktą sąrašą šie duomenys yra: faktinių aplinkybių data ir laikas, atitinkamų abonentų IP adresas, naudotas lygiarangių protokolas, abonento naudojamas pseudonimas, informacija apie saugomus kūrinius ar objektus, su kuriais susijusios faktinės aplinkybės, abonento įrenginyje esančios rinkmenos pavadinimas (jei taikoma) ir interneto prieigos paslaugų teikėjas, iš kurio buvo įsigyta prieiga arba kuris suteikė IP techninius išteklius.
55 Antroji duomenų tvarkymo operacija, kurią Hadopi prašymu atlieka interneto prieigos teikėjai, taip pat vyksta dviem etapais. Pirma, iš anksto surinkti IP adresai susiejami su šių adresų turėtojais. Antra, šiai valdžios institucijai pateikiami visi su šiais IP adresų turėtojais susiję asmens duomenys ir informacija, labiausiai siejami su jų civiline tapatybe. Remiantis Dekreto Nr. 2010‑236 priedo 2 punkte pateiktu sąrašu, šie duomenys iš esmės yra abonento pavardė ir vardai, pašto adresas ir el. pašto adresai, telefono numeriai ir telefono įrenginio adresas.
56 Šiuo klausimu CPI L. 331‑21 straipsnio penktoje pastraipoje, iš dalies pakeistoje šio sprendimo 43 punkte minėtu Konstitucinės Tarybos sprendimu, numatyta, kad Hadopi teisių apsaugos komiteto nariai ir šios institucijos prisiekusieji valstybės tarnautojai, įgalioti jos pirmininko, gali iš elektroninių ryšių operatorių gauti abonento, kurio prieiga prie viešųjų elektroninių ryšių paslaugų buvo naudojama kūriniams ar saugomiems objektams atgaminti, atvaizduoti, padaryti prieinamus ar viešai paskelbti be teisių turėtojų leidimo, kai toks leidimas reikalingas, tapatybės duomenis, pašto adresą, elektroninio pašto adresą ir telefono numerį.
57 Šiomis skirtingomis asmens duomenų tvarkymo operacijomis siekiama suteikti Hadopi galimybę tokių nustatytų IP adresų turėtojų atžvilgiu imtis priemonių, numatytų pagal CPI L. 331‑25 straipsnyje reglamentuojamą vadinamąją „laipsniško reagavimo“ procedūrą. Šios priemonės visų pirma yra: „rekomendacijų“, kurios prilygsta įspėjimams, išsiuntimas; be to, jei per vienus metus nuo antros rekomendacijos išsiuntimo kreipiamasi į Hadopi teisių apsaugos komitetą dėl aplinkybių, kurios gali būti laikomos konstatuoto pažeidimo pakartojimu, pateikiamas pranešimas, kaip numatyta CPI R. 331‑40 straipsnyje, kad faktinės aplinkybės gali būti kvalifikuojamos kaip „didelis aplaidumas“, apibrėžtas CPI R. 335‑5 straipsnyje, t. y. nusižengimas, už kurį skiriama ne didesnė kaip 1 500 EUR bauda, o pakartotinio pažeidimo atveju – 3 000 EUR bauda; galiausiai po nagrinėjimo gali būti kreipiamasi į prokuratūrą dėl aplinkybių, kurios gali būti laikomos tokiu nusižengimu arba prireikus CPI L. 335‑2 straipsnyje ar šio kodekso L. 335‑4 straipsnyje nurodytu nusikaltimu dėl intelektinės nuosavybės teisių pažeidimo, už kurį baudžiama trejų metų laisvės atėmimu ir 300 000 EUR bauda.
58 Atsižvelgiant į tai, prašymą priimti prejudicinį sprendimą pateikusio teismo klausimai susiję tik su tolesniu duomenų tvarkymu, aprašytu šio sprendimo 55 punkte, o ne su išankstiniu duomenų tvarkymu, kurio pagrindinės savybės išdėstytos šio sprendimo 54 punkte.
59 Vis dėlto reikia pažymėti, kad jeigu išankstinis atitinkamų teisių turėtojų organizacijų atliekamas IP adresų rinkimas prieštarautų Sąjungos teisei, pagal šią teisę taip pat būtų draudžiama naudoti šiuos duomenis elektroninių ryšių paslaugų teikėjams atliekant vėlesnį jų tvarkymą, kai šie adresai susiejami su šių adresų turėtojų civilinės tapatybės duomenimis.
60 Šiomis aplinkybėmis pirmiausia reikia priminti, kad pagal Teisingumo Teismo jurisprudenciją IP adresai yra tiek srauto duomenys pagal Direktyvą 2002/58, tiek asmens duomenys BDAR tikslais (šiuo klausimu žr. 2021 m. birželio 17 d. Sprendimo M.I.C.M., C‑597/19, EU:C:2021:492, 102 ir 113 punktus ir juose nurodytą jurisprudenciją).
61 Vis dėlto teisių turėtojų organizacijų atstovų vykdomas viešų ir visiems matomų IP adresų rinkimas nepatenka į Direktyvos 2002/58 taikymo sritį, nes toks duomenų tvarkymas akivaizdžiai nevyksta „teikiant elektroninių ryšių paslaugas“, kaip tai suprantama pagal šios direktyvos 3 straipsnį.
62 Toks IP adresų rinkimas, kurį, kaip matyti iš Teisingumo Teismui pateiktos bylos medžiagos, nustatant tam tikrus kiekybinius apribojimus ir tam tikromis sąlygomis leido Commission nationale de l’informatique et des libertés (Nacionalinė informatikos ir laisvių komisija, Prancūzija, toliau – CNIL), siekiant juos perduoti Hadopi tam, kad būtų galima panaudoti vėlesniuose administraciniuose ar teismo procesuose, kovojant su veikla, kuria pažeidžiamos autorių ir gretutinės teisės, yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, kurios teisėtumas priklauso nuo šio reglamento 6 straipsnio 1 dalies pirmos pastraipos f punkte nustatytų sąlygų, aiškinamų atsižvelgiant į Teisingumo Teismo jurisprudenciją, suformuotą, be kita ko, 2021 m. birželio 17 d. Sprendime M.I.C.M. (C‑597/19, EU:C:2021:492, 102 ir 103 punktai) ir 2023 m. liepos 4 d. Sprendime Meta Platforms ir kt. (Bendrosios naudojimosi socialiniu tinklu sąlygos) (C‑252/21, EU:C:2023:537, 106–112 punktai ir juose nurodyta jurisprudencija).
63 Šio sprendimo 55 punkte aprašytas tolesnis duomenų tvarkymas patenka į Direktyvos 2002/58 taikymo sritį, nes atliekamas „teikiant elektroninių ryšių paslaugas“, kaip tai suprantama pagal šios direktyvos 3 straipsnį, jeigu nagrinėjami duomenys gaunami iš elektroninių ryšių paslaugų teikėjų pagal CPI L. 331‑21 straipsnį.
Dėl viešosios valdžios institucijos prieigos prie civilinės tapatybės duomenų, atitinkančių elektroninių ryšių paslaugų teikėjų saugomus IP adresus, siekiant kovoti su internete padarytu teisių pažeidimu, pateisinimo pagal Direktyvos 2002/58 15 straipsnio 1 dalį
64 Atsižvelgiant į pirmines pastabas, kyla klausimas, kaip siekia sužinoti prašymą priimti prejudicinį sprendimą pateikęs teismas, ar Chartijos 7, 8 ir 11 straipsniuose įtvirtintų pagrindinių teisių apribojimas, kurį lemia viešosios valdžios institucijos, kaip antai Hadopi, prieiga prie civilinės tapatybės duomenų, atitinkančių jos jau turimą IP adresą, gali būti pateisinamas pagal Direktyvos 2002/58 15 straipsnio 1 dalį.
65 Prieiga prie tokių asmens duomenų gali būti suteikta, tik jeigu jie buvo saugomi pagal Direktyvą 2002/58 (šiuo klausimu žr. 2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos), C‑746/18, EU:C:2021:152, 29 punktą).
Dėl reikalavimų, susijusių su elektroninių ryšių paslaugų teikėjų atliekamu civilinės tapatybės duomenų ir juos atitinkančių IP adresų saugojimu
66 Pagal Direktyvos 2002/58 15 straipsnio 1 dalį valstybėms narėms leidžiama nustatyti šios direktyvos 5 straipsnio 1 dalyje įtvirtintos pagrindinės pareigos užtikrinti asmens duomenų konfidencialumą ir susijusių pareigų, nurodytų, be kita ko, šios direktyvos 6 ir 9 straipsniuose, išimtis, jeigu toks ribojimas yra demokratinėje visuomenėje būtina, tinkama ir proporcinga priemonė, skirta apsaugoti nacionaliniam ir visuomenės saugumui, gynybai arba užtikrinti nusikalstamų veikų ar neteisėto elektroninių ryšių sistemos naudojimo prevencijai, tyrimui, atskleidimui ar baudžiamajam persekiojimui už jas. Šiuo tikslu valstybės narės gali, inter alia, patvirtinti teisėkūros priemones, leidžiančias ribotą laikotarpį saugoti duomenis, kai tai pateisinama viena iš nurodytų priežasčių. Atsižvelgiant į tai, galimybė nukrypti nuo Direktyvos 2002/58 5, 6 ir 9 straipsniuose numatytų teisių ir pareigų negali pateisinti to, kad pagrindinės pareigos užtikrinti elektroninių ryšių ir su jais susijusių duomenų konfidencialumą ir ypač šios direktyvos 5 straipsnyje aiškiai numatyto draudimo saugoti šiuos duomenis išimtis taptų taisykle (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 110 ir 111 punktus).
67 Taigi pagal šią nuostatą priimta teisėkūros priemone turi būti veiksmingai ir griežtai siekiama vieno iš pirmesniame šio sprendimo punkte nurodytų tikslų, kurių baigtinis sąrašas pateiktas Direktyvos 2002/58 15 straipsnio 1 dalies pirmame sakinyje, laikomasi bendrųjų Sąjungos teisės principų, įskaitant proporcingumo principą, ir paisoma Chartijoje garantuojamų pagrindinių teisių. Šiuo klausimu Teisingumo Teismas jau yra nusprendęs, kad elektroninių ryšių paslaugų teikėjams valstybės narės nacionalinės teisės aktuose nustatyta pareiga saugoti srauto duomenis, kad prireikus jie būtų prieinami kompetentingoms nacionalinėms institucijoms, kelia klausimų ne tik dėl Chartijos 7 ir 8 straipsnių, susijusių atitinkamai su privataus gyvenimo ir asmens duomenų apsaugos užtikrinimu, bet ir dėl Chartijos 11 straipsnyje garantuojamos saviraiškos laisvės paisymo (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 112 ir 113 punktus).
68 Taigi aiškinant Direktyvos 2002/58 15 straipsnio 1 dalį reikia atsižvelgti tiek į Chartijos 7 straipsnyje įtvirtintą teisę į privataus gyvenimą gerbimą, tiek į jos 8 straipsnyje įtvirtintos teisės į asmens duomenų apsaugą svarbą, kaip matyti iš Teisingumo Teismo jurisprudencijos, taip pat į saviraiškos laisvę, t. y. Chartijos 11 straipsnyje įtvirtintą pagrindinę teisę – vieną iš pagrindinių demokratinės ir pliuralistinės visuomenės pagrindų, kurie yra vertybių, kuriomis pagal ESS 2 straipsnį grindžiama Sąjunga, dalis (2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 114 punktas ir jame nurodyta jurisprudencija).
69 Šiuo klausimu reikia pabrėžti, kad srauto ir vietos nustatymo duomenų saugojimas savaime yra, pirma, Direktyvos 2002/58 5 straipsnio 1 dalyje numatyto draudimo saugoti šiuos duomenis, taikomo bet kuriam asmeniui, kuris nėra naudotojas, išimtis ir, antra, Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą suvaržymas, neatsižvelgiant į tai, ar atitinkama informacija, susijusi su privačiu gyvenimu, yra jautri, ar ne, ir ar suinteresuotieji asmenys patyrė nepatogumų dėl tokio suvaržymo Taip pat, nepaisant to, ar saugomi duomenys vėliau naudojami, ar ne, prieiga prie tokių duomenų, nepriklausomai nuo jų vėlesnio naudojimo, yra atskiras pagrindinių teisių, nurodytų pirmesniame šio sprendimo punkte, suvaržymas (2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 115 ir 116 punktai).
70 Taigi tiek, kiek pagal ją valstybėms narėms leidžiama nustatyti šio sprendimo 66 punkte numatytas nukrypti leidžiančias priemones, Direktyvos 2002/58 15 straipsnio 1 dalis atspindi tai, kad Chartijos 7, 8 ir 11 straipsniuose įtvirtintos teisės nėra absoliučios ir turi būti vertinamos atsižvelgiant į jų visuomeninę paskirtį. Iš tiesų, kaip matyti iš Chartijos 52 straipsnio 1 dalies, ja leidžiama apriboti naudojimąsi tokiomis teisėmis, jei šie apribojimai numatyti įstatymo, nekeičia minėtų teisių esmės ir, remiantis proporcingumo principu, yra būtini ir tikrai atitinka Sąjungos pripažintus bendruosius interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti (2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 120 ir 121 punktai).
71 Nagrinėjamu atveju reikia pažymėti, kad nors formaliai Hadopi turi teisę susipažinti tik su IP adresą atitinkančiais civilinės tapatybės duomenimis, šiai prieigai būdinga tai, kad prieš tai atitinkami elektroninių ryšių paslaugų teikėjai turi susieti IP adresą ir jo turėtojo civilinės tapatybės duomenis. Taigi minėta prieiga neišvengiamai reiškia, kad paslaugų teikėjai turi IP adresus ir jų turėtojų tapatybės duomenis.
72 Be to, ši valdžios institucija siekia gauti prieigą prie šių duomenų, siekdama vienintelio tikslo – nustatyti IP adreso, naudoto vykdant veiklą, galinčią pažeisti autorių teises ar gretutines teises, turėtoją, nes jis neteisėtai padarė prieinamus internete saugomus kūrinius, kad juos atsisiųstų kiti asmenys. Šiomis aplinkybėmis civilinės tapatybės duomenys turi būti laikomi glaudžiai susijusiais tiek su IP adresu, tiek su Hadopi turima informacija apie internete prieinamą kūrinį.
73 Vis dėlto į tokį konkretų kontekstą negalima neatsižvelgti nagrinėjant galimą asmens duomenų saugojimo priemonės pateisinimą pagal Direktyvos 2002/58 15 straipsnio 1 dalį, aiškinamą atsižvelgiant į Chartijos 7, 8 ir 11 straipsnius (pagal analogiją žr. 2018 m. balandžio 24 d. EŽTT sprendimo Benedik prieš Slovėniją, CE:ECHR:2018:0424JUD006235714, 109 punktą).
74 Vadinasi, būtent atsižvelgiant į IP adresų saugojimo srityje nustatytus reikalavimus, kylančius iš minėto 15 straipsnio 1 dalies, aiškinamos atsižvelgiant į Chartijos 7, 8 ir 11 straipsnius, reikia išnagrinėti, ar gali būti pateisinamas šiuose Chartijos straipsniuose įtvirtintų pagrindinių teisių suvaržymas, kurį lemia tai, kad viešai prieinamų elektroninių ryšių paslaugų teikėjai saugo duomenis, su kuriais Hadopi turi teisę susipažinti.
75 Šiomis aplinkybėmis reikia pabrėžti, kad pagal Teisingumo Teismo jurisprudenciją, nors, kaip priminta šio sprendimo 60 punkte, IP adresai yra srauto duomenys, kaip tai suprantama pagal Direktyvą 2002/58, jie skiriasi nuo kitų srauto ir vietos nustatymo duomenų kategorijų.
76 Šiuo klausimu Teisingumo Teismas pažymėjo, kad IP adresai sugeneruojami nesiejant jų su konkrečiu pranešimu ir iš esmės tarpininkaujant elektroninių ryšių paslaugų teikėjams yra skirti identifikuoti asmeniui, kuriam priklauso galinis įrenginys, iš kurio siunčiamas pranešimas internetu. Taigi elektroninio pašto ir interneto telefonijos srityje, jeigu išsaugomi tik ryšio šaltinio IP adresai, o ne jo adresato adresai, tokie adresai savaime neatskleidžia informacijos apie trečiuosius asmenis, kurie kontaktavo su komunikaciją inicijavusiu asmeniu. Taigi šios kategorijos duomenys yra mažiau jautrūs nei kiti srauto duomenys (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 152 punktą).
77 Tiesa, kad 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt. (C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791) 156 punkte Teisingumo Teismas nustatė, kad, nepaisant to, jog konstatuotas mažesnis IP adresų jautrumas, kai jie naudojami tik elektroninių ryšių paslaugos naudotojo tapatybei nustatyti, pagal Direktyvos 2002/58 15 straipsnio 1 dalį draudžiama bendrai ir nediferencijuotai saugoti tik ryšio šaltiniui priskirtus IP adresus siekiant kitų tikslų nei kova su sunkiais nusikaltimais, užkirsti kelią didelėms grėsmėms visuomenės saugumui arba užtikrinti nacionalinį saugumą. Vis dėlto darydamas šią išvadą Teisingumo Teismas aiškiai rėmėsi dideliu Chartijos 7, 8 ir 11 straipsniuose įtvirtintų pagrindinių teisių suvaržymu, kurį gali lemti toks IP adresų saugojimas.
78 Iš tiesų to paties sprendimo 153 punkte Teisingumo Teismas nustatė: kadangi IP adresai, kai jie naudojami „išsamiai atsekti interneto vartotojo naršymo kelius“, taigi ir jo veiklą internete, be kita ko, gali leisti nustatyti „išsamų šio vartotojo profilį“, šių IP adresų saugojimas ir analizė, kurį reikia atlikti dėl tokio sekimo, yra didelis Chartijos 7 ir 8 straipsniuose įtvirtintų duomenų subjekto pagrindinių teisių suvaržymas, galintis turėti atgrasomąjį poveikį elektroninių ryšių priemonių naudotojams įgyvendinti Chartijos 11 straipsnyje garantuojamą jų saviraiškos laisvę.
79 Vis dėlto reikia pabrėžti, kad bet koks bendras ir nediferencijuotas visų, kartais ir didelio kiekio, statinių ir dinaminių IP adresų, kuriuos tam tikru laikotarpiu asmuo naudoja, saugojimas nebūtinai yra didelis Chartijos 7, 8 ir 11 straipsniuose garantuojamų pagrindinių teisių suvaržymas.
80 Šiuo klausimu pirmiausia pažymėtina, kad bylos, kuriose priimtas 2020 m. spalio 6 d. Sprendimas La Quadrature du Net ir kt. (C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791), buvo susijusios su nacionalinės teisės aktais, pagal kuriuos buvo nustatyta pareiga saugoti visus duomenis, būtinus nustatyti ryšių datai, laikui, trukmei ir rūšiai, siekiant identifikuoti naudojamą komunikacijos įrangą ir nustatyti galinių įrenginių ir ryšių buvimo vietą; šie duomenys, be kita ko, apėmė naudotojo pavadinimą ir adresą, skambinančiojo ir adresato telefono numerius, taip pat IP adresą interneto paslaugoms. Be to, atrodo, kad dviejose iš šių bylų nagrinėti nacionalinės teisės aktai taip pat apėmė duomenis, susijusius su elektroninių ryšių perdavimu tinklais, leidžiančius taip pat nustatyti internete naršomos informacijos pobūdį (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 82 ir 83 punktus).
81 Taigi IP adresų saugojimas pagal tokius nacionalinės teisės aktus, atsižvelgiant į kitus duomenis, kuriuos pagal šiuos teisės aktus reikalaujama saugoti, ir į galimybę derinti šiuos įvairius duomenis, gali leisti padaryti tikslias išvadas apie asmenų, kurių duomenys buvo tvarkomi, privatų gyvenimą, taigi ir lemti didelį Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą, taip pat šios Chartijos 11 straipsnyje įtvirtintos jų saviraiškos laisvės suvaržymą.
82 Vis dėlto elektroninių ryšių paslaugų teikėjams pagal Direktyvos 2002/58 15 straipsnio 1 dalyje numatytą teisėkūros priemonę nustatyta pareiga užtikrinti bendrą ir nediferencijuotą IP adresų saugojimą prireikus gali būti pateisinama kovos su nusikalstamomis veikomis apskritai tikslu, jeigu iš tikrųjų atmetama galimybė, kad toks saugojimas lems didelius duomenų subjekto privataus gyvenimo suvaržymus, nes galima padaryti tikslias išvadas apie šį asmenį, be kita ko, susiejant šiuos IP adresus su visais srauto ar vietos nustatymo duomenimis, kuriuos šie teikėjai taip pat saugojo.
83 Taigi valstybė narė, ketinanti elektroninių ryšių paslaugų teikėjams nustatyti pareigą bendrai ir nediferencijuotai saugoti IP adresus, kad būtų pasiektas tikslas, susijęs su kova su nusikalstamomis veikomis apskritai, turi užtikrinti, kad šių duomenų saugojimo tvarka būtų tokia, kad būtų išvengta bet kokio minėtų IP adresų susiejimo su kitais laikantis Direktyvos 2002/58 saugomais duomenimis, kai toks susiejimas leistų padaryti tikslias išvadas apie asmenų, kurių duomenys taip saugomi, privatų gyvenimą.
84 Siekiant užtikrinti, kad nebūtų susieti duomenys, leidžiantys padaryti tikslias išvadas apie atitinkamo asmens privatų gyvenimą, saugojimo tvarka turi būti susijusi su pačiu saugojimo pobūdžiu, jis iš esmės turi būti organizuojamas taip, kad būtų užtikrintas veiksmingas įvairių saugomų duomenų kategorijų atskyrimas.
85 Šiuo klausimu pažymėtina, kad valstybė narė, kuri ketina elektroninių ryšių paslaugų teikėjams nustatyti pareigą bendrai ir nediferencijuotai saugoti IP adresus, kad būtų pasiektas tikslas, susijęs su kova su nusikalstamomis veikomis apskritai, savo teisės aktuose turi numatyti aiškias ir tikslias taisykles, susijusias su minėta saugojimo tvarka – ši turi atitikti griežtus reikalavimus. Vis dėlto Teisingumo Teismas gali pateikti išsamesnės informacijos apie šią tvarką.
86 Pirma, ankstesniame šio sprendimo punkte nurodytomis nacionalinėmis taisyklėmis turi būti užtikrinta, kad kiekviena duomenų kategorija, įskaitant civilinės tapatybės duomenis ir IP adresus, būtų saugoma visiškai atskirai nuo kitų saugomų duomenų kategorijų.
87 Antra, šiomis taisyklėmis turi būti užtikrinta, kad techniniu požiūriu įvairių kategorijų saugomi duomenys, be kita ko, civilinės tapatybės duomenys, IP adresai, kiti nei IP adresai srauto duomenys ir įvairūs vietos nustatymo duomenys, būtų iš tikrųjų veiksmingai atskirti, naudojant saugią ir patikimą informatikos priemonę.
88 Trečia, kadangi minėtose taisyklėse numatyta galimybė susieti saugomus IP adresus su duomenų subjekto civiline tapatybe, laikantis iš Direktyvos 2002/58 15 straipsnio 1 dalies, siejamos su Chartijos 7, 8 ir 11 straipsniais, kylančių reikalavimų, jos turi leisti susieti šiuos duomenis tik naudojant veiksmingas technines priemones, nepaneigiančias šių kategorijų duomenų atskyrimo veiksmingumo.
89 Ketvirta, šio veiksmingo atskyrimo patikimumą turi reguliariai tikrinti kita valdžios institucija nei ta, kuri siekia gauti prieigą prie elektroninių ryšių paslaugų teikėjų saugomų asmens duomenų.
90 Jeigu taikytinuose nacionalinės teisės aktuose numatyti tokie griežti reikalavimai, susiję su bendro ir nediferencijuoto IP adresų ir kitų elektroninių ryšių paslaugų teikėjų saugomų duomenų saugojimo būdais, dėl šio IP adresų saugojimo atsirandantis suvaržymas dėl paties minėto saugojimo pobūdžio negali būti laikomas „dideliu“.
91 Iš tiesų, jeigu tokia teisėkūros priemonė yra priimta, dėl taip nustatytos IP adresų saugojimo tvarkos šie duomenys negali būti siejami su kitais pagal Direktyvą 2002/58 saugomais duomenimis, leidžiančiais daryti tikslias išvadas apie duomenų subjekto privatų gyvenimą.
92 Taigi, jeigu teisėkūros priemonė atitinka šio sprendimo 86–89 punktuose nurodytus reikalavimus, pagal Direktyvos 2002/58 15 straipsnio 1 dalį, siejamą su Chartijos 7, 8 ir 11 straipsniais, nedraudžiama situacija, kai atitinkama valstybė narė nustato pareigą bendrai ir nediferencijuotai saugoti IP adresus, siekiant kovoti su nusikalstamomis veikomis apskritai.
93 Galiausiai, kaip matyti iš 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt. (C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791) 168 punkto, tokioje teisėkūros priemonėje turi būti numatytas saugojimo laikotarpis, kuris neviršija to, kas griežtai būtina, ir aiškiomis ir tiksliomis taisyklėmis užtikrinama, kad saugant nagrinėjamus duomenis būtų laikomasi su tokiu saugojimu susijusių materialinių ir procesinių sąlygų, o duomenų subjektai turėtų veiksmingas garantijas nuo piktnaudžiavimo pavojų ir nuo bet kokios neteisėtos prieigos prie šių duomenų ar jų neteisėto naudojimo.
94 Prašymą priimti prejudicinį sprendimą pateikęs teismas turi įvertinti, ar pagrindinėje byloje nagrinėjami nacionalinės teisės aktai atitinka šio sprendimo 85–93 punktuose nurodytas sąlygas.
Dėl prieigos prie civilinės tapatybės duomenų, atitinkančių elektroninių ryšių paslaugų teikėjų saugomus IP adresus, reikalavimų
95 Iš Teisingumo Teismo jurisprudencijos matyti, kad kovos su nusikalstamomis veikomis srityje tik kovos su sunkiais nusikaltimais arba didelės grėsmės visuomenės saugumui prevencijos tikslais gali būti pateisinamas didelis Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymas, kurį lemia valdžios institucijų prieiga prie visų srauto ar vietos nustatymo duomenų, galinčių suteikti informacijos apie elektroninių ryšių priemonės naudotojo pranešimus arba apie jo naudojamų galinių įrenginių vietą, leidžianti daryti tikslias išvadas apie duomenų subjektų privatų gyvenimą; kiti veiksniai, susiję su prašymo suteikti prieigą proporcingumu, kaip antai laikotarpio, su kuriuo prašoma leisti susipažinti su tokiais duomenimis, trukmė, negali lemti to, kad nusikalstamų veikų prevencijos, tyrimo, atskleidimo ir baudžiamojo persekiojimo už jas tikslas apskritai galėtų pateisinti tokią prieigą (2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos), C‑746/18, EU:C:2021:152, 35 punktas).
96 Vis dėlto, kai Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymas, kurį lemia valdžios institucijų prieiga prie elektroninių ryšių paslaugų teikėjų saugomų civilinės tapatybės duomenų, kai šie duomenys negali būti susieti su informacija, susijusia su pranešimais, nėra didelis, nes, vertinami bendrai, šie duomenys neleidžia daryti tikslių išvadų apie asmenų, kurių duomenys tvarkomi, privatų gyvenimą, tokia prieiga gali būti pateisinama nusikalstamų veikų apskritai prevencijos, tyrimo, atskleidimo ir baudžiamojo persekiojimo už jas tikslais (šiuo klausimu žr. 2018 m. spalio 2 d. Sprendimo Ministerio Fiscal, C‑207/16, EU:C:2018:788 54, 57 ir 60 punktus).
97 Taip pat svarbu pridurti, kad pagal Teisingumo Teismo suformuotoje jurisprudencijoje įtvirtintą principą prieiga prie srauto ir vietos nustatymo duomenų gali būti pateisinama pagal Direktyvos 2002/58 15 straipsnio 1 dalį tik bendrojo intereso tikslu, dėl kurio elektroninių ryšių paslaugų teikėjai buvo įpareigoti saugoti šiuos duomenis, nebent tokia prieiga pateisinama svarbesnio bendrojo intereso tikslu. Iš šio principo, be kita ko, matyti, kad tokia prieiga, siekiant kovoti su nusikalstamomis veikomis apskritai, jokiu būdu negali būti suteikta, jei minėtų duomenų saugojimas buvo pateisinamas kovos su sunkiais nusikaltimais arba a fortiori nacionalinio saugumo užtikrinimo tikslu (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 166 punktą).
98 Vis dėlto toks kovos su nusikalstamomis veikomis apskritai tikslas leidžia pateisinti prieigos prie srauto ir vietos nustatymo duomenų, kurie buvo saugomi, kiek to reikia ir kol to reikia sąskaitoms už paslaugas pateikti, šių paslaugų rinkodarai ir teikiant pridėtinės vertės paslaugas, kaip tai leidžiama pagal Direktyvos 2002/58 6 straipsnį (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 108 ir 167 punktus).
99 Nagrinėjamu atveju, pirma, iš pagrindinėje byloje nagrinėjamų nacionalinės teisės aktų matyti, kad Hadopi neturi prieigos prie „visų srauto ar vietos nustatymo duomenų“, kaip tai suprantama pagal šio sprendimo 95 punkte primintą jurisprudenciją, todėl ji iš principo negali padaryti tikslių išvadų apie duomenų subjektų privatų gyvenimą. Prieiga prie duomenų, kai negalima daryti tokių išvadų, nėra didelis Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymas.
100 Iš tiesų pagal šiuos teisės aktus ir Prancūzijos vyriausybės šiuo klausimu pateiktus paaiškinimus šiai valdžios institucijai suteikiama prieiga yra griežtai apribota tam tikrais duomenimis, susijusiais su IP adreso turėtojo civiline tapatybe, ir suteikiama tik tam, kad būtų galima identifikuoti šį adresų turėtoją, įtariamą vykdžius autorių teises ar gretutines teises pažeidžiančią veiklą, kai jis neteisėtai padarė internete prieinamus saugomus kūrinius, kad juos atsisiųstų kiti asmenys. Prireikus šia prieiga siekiama, kad šio IP adresų turėtojo atžvilgiu būtų imtasi vienos iš auklėjamųjų ar represinių priemonių, numatytų taikant laipsniško reagavimo procedūrą, t. y. išsiunčiant pirmąją ir antrąją rekomendacijas, vėliau – raštą, kuriuo jam pranešama, kad ši veikla gali būti laikoma dideliu aplaidumu, ir galiausiai kreipiantis į prokuratūrą, kad būtų patrauktas atsakomybėn už šį intelektinės nuosavybės teisių pažeidimą ar nusikaltimą.
101 Taip pat reikia, kad minėtuose nacionalinės teisės aktuose būtų numatytos aiškios ir tikslios taisyklės, užtikrinančios, kad IP adresai, saugomi laikantis Direktyvos 2002/58 reikalavimų, galėtų būti naudojami tik siekiant nustatyti asmenį, kuriam buvo suteiktas konkretus IP adresas, ir neleidžiančios jų naudoti, siekiant stebėti, naudojant vieną ar kelis iš šių adresų, to asmens veiklą internete. Kai IP adresas naudojamas tik siekiant nustatyti jo turėtoją, vykstant konkrečiai administracinei procedūrai, per kurią gali būti pradėtas jo baudžiamasis persekiojimas, o ne siekiant, pavyzdžiui, atskleisti šio adreso turėtojo ryšius ar buvimo vietą, prieiga prie šio IP adreso šiuo vienu tikslu yra susijusi su minėtu adresu kaip civilinės tapatybės duomenimis, o ne srauto duomenimis.
102 Be to, iš šio sprendimo 97 punkte primintoje suformuotoje jurisprudencijoje įtvirtinto principo matyti, kad nors tokia prieiga, kokia suteikiama Hadopi pagal pagrindinėje byloje nagrinėjamus nacionalinės teisės aktus, jeigu ja siekiama kovos su nusikalstamomis veikomis apskritai tikslo, gali būti pateisinama, tik jeigu ji susijusi su IP adresais, kuriuos elektroninių ryšių paslaugų teikėjai turi saugoti siekdami to paties, o ne didesnio tikslo, kaip antai kovos su sunkiais nusikaltimais tikslo, vis dėlto tai neturi įtakos prieigai, kuri pateisinama tokiu kovos su nusikalstamomis veikomis apskritai tikslu, kai ji susijusi su Direktyvos 2002/58 6 straipsnyje numatytomis sąlygomis saugomais IP adresais.
103 Be to, kaip matyti iš šio sprendimo 85–92 punktų, IP adresų saugojimas, grindžiamas teisėkūros priemone pagal Direktyvos 2002/58 15 straipsnio 1 dalį, siekiant kovos su nusikalstamomis veikomis apskritai tikslo, gali būti pateisinamas, kai atitinkamame teisės akte nustatyta šio saugojimo tvarka atitinka visus reikalavimus, kuriais iš esmės siekiama užtikrinti veiksmingą įvairių saugomų duomenų kategorijų atskyrimą, todėl skirtingoms kategorijoms priklausančių duomenų derinys iš tikrųjų negalimas. Iš tiesų tuo atveju, kai elektroninių ryšių paslaugų teikėjams nustatyta tokia saugojimo tvarka, bendras ir nediferencijuotas IP adresų saugojimas nėra didelis jų turėtojų privataus gyvenimo suvaržymas, nes remiantis šiais duomenimis negalima daryti tikslių išvadų apie jų privatų gyvenimą.
104 Taigi, atsižvelgiant į šio sprendimo 95–97 punktuose primintą jurisprudenciją, tuo atveju, kai nustatyta tokia teisėkūros priemonė, prieiga prie saugomų IP adresų siekiant kovoti su nusikalstamomis veikomis apskritai gali būti pateisinama pagal Direktyvos 2002/58 15 straipsnio 1 dalį, kai tokia prieiga leidžiama tik siekiant nustatyti asmens, įtariamo dalyvavus darant tokias nusikalstamas veikas, tapatybę.
105 Be to, aplinkybė, kad valdžios institucijai, kaip antai Hadopi, leidžiama susipažinti su civilinės tapatybės duomenimis, atitinkančiais viešąjį IP adresą, kurį jai perdavė teisių turėtojų organizacijos vien tam, kad nustatytų šio adreso, naudojamo internete vykdomai veiklai, galinčiai pažeisti autorių teises ar gretutines teises, turėtoją, siekiant jam taikyti vieną iš priemonių, numatytų vykstant laipsniško reagavimo procedūrai, atitinka Teisingumo Teismo jurisprudenciją dėl Direktyvos 2004/48 8 straipsnyje numatytos „teisės gauti informaciją“, nagrinėjant ieškinį dėl intelektinės nuosavybės teisės pažeidimo (šiuo klausimu žr. 2008 m. sausio 29 d. Sprendimo Promusicae, C‑275/06, EU:C:2008:54, 47 ir paskesnius punktus).
106 Iš tiesų šioje jurisprudencijoje Teisingumo Teismas, pabrėžęs, kad Direktyvoje 2004/48 numatytų priemonių taikymas negali daryti poveikio nei BDAR, nei Direktyvai 2002/58, nusprendė, kad pagal Direktyvos 2004/48 8 straipsnio 3 dalį, siejamą su Direktyvos 2002/58 15 straipsnio 1 dalimi ir Direktyvos 95/46 7 straipsnio f punktu, valstybėms narėms nedraudžiama įtvirtinti pareigos elektroninių ryšių paslaugų teikėjams perduoti asmens duomenis privatiems asmenims, kad civilines bylas nagrinėjančiuose teismuose būtų galima iškelti bylą už autorių teisių pažeidimus, tačiau ja valstybės narės neįpareigojamos numatyti tokios pareigos (šiuo klausimu žr. 2021 m. birželio 17 d. Sprendimo M.I.C.M., C‑597/19, EU:C:2021:492, 124 ir 125 punktus ir juose nurodytą jurisprudenciją).
107 Antra, siekiant konkrečiai įvertinti privataus gyvenimo suvaržymo, kurį lemia valdžios institucijos prieiga prie asmens duomenų, mastą, negalima nepaisyti specifinių aplinkybių, kuriomis tokia prieiga suteikiama, visų pirma visų duomenų ir informacijos, kurie šiai institucijai buvo perduoti pagal taikytinus nacionalinės teisės aktus, įskaitant jau turimus duomenis ir informaciją, atskleidžiančius turinį (pagal analogiją žr. 2018 m. balandžio 24 d. EŽTT sprendimo Benedik prieš Slovėniją, CE:ECHR:2018:0424JUD006235714, 109 punktą).
108 Taigi nagrinėjamu atveju atliekant minėtą vertinimą svarbu atsižvelgti į tai, kad prieš įgydama prieigą prie nagrinėjamų civilinės tapatybės duomenų Hadopi gauna iš teisių turėtojų organizacijų, be kita ko, „informaciją apie saugomus kūrinius ar objektus, su kuriais susijusios faktinės aplinkybės“, ir „abonento įrenginyje esančios rinkmenos pavadinimą (jei taikoma)“, kaip numatyta Dekreto Nr. 2010–236 priedo 1 punkte.
109 Iš Teisingumo Teismo turimos bylos medžiagos matyti (su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas), kad informacija apie atitinkamą kūrinį, įrašyta protokole, kurio turinys apibrėžtas 2010 m. birželio 10 d. CNIL protokoluose, iš esmės apsiriboja atitinkamu kūriniu ir vadinamąja „chunk“ ištrauka, pateikiama raidine ir skaitmenine seka, o ne kūrinio garso ar vaizdo įrašo ištraukos forma.
110 Žinoma, šiuo klausimu apskritai negalima atmesti galimybės, kad viešosios valdžios institucijos prieiga prie riboto skaičiaus duomenų, susijusių su IP adreso turėtojo civiline tapatybe, kuriuos elektroninių ryšių paslaugų teikėjas jai perdavė vien tam, kad būtų identifikuotas šis IP adreso turėtojas, kai šis adresas buvo naudojamas veiklai, galinčiai pažeisti autorių teises ar gretutines teises, jeigu tokie duomenys siejami su analize informacijos, nors ir ribotos, apie internete neteisėtai paskelbto kūrinio turinį, anksčiau jai perduotą teisių turėtojų organizacijos, gali suteikti šiai valdžios institucijai informacijos apie tam tikrus šio IP adreso turėtojo privataus gyvenimo aspektus, įskaitant neskelbtiną informaciją, kaip antai seksualinę orientaciją, politines pažiūras, religinius, filosofinius, socialinius ar kitus įsitikinimus ir sveikatos būklę, nors tokiems duomenims, be kita ko, taikoma ypatinga apsauga pagal Sąjungos teisę.
111 Vis dėlto nagrinėjamu atveju, atsižvelgiant į Hadopi turimų duomenų pobūdį ir ribotą informaciją, tik netipinėse situacijose jie gali atskleisti informaciją, prireikus jautrią, apie atitinkamo asmens privataus gyvenimo aspektus, kurie, vertinami kartu, leistų šiai valdžios institucijai padaryti tikslias išvadas apie šio asmens privatų gyvenimą, pavyzdžiui, nustatant jo išsamų profilį.
112 Taip galėtų būti, be kita ko, atveju asmens, kurio IP adresas lygiarangių tinkluose pakartotinai ar net dideliu mastu buvo naudojamas autorių teises ar gretutines teises pažeidžiančiai veiklai, susijusiai su saugomais konkrečių rūšių kūriniais, kuriuos galima sugrupuoti pagal jų pavadinimus, galinčius atskleisti tam tikrais atvejais jautrią informaciją apie jo privataus gyvenimo aspektus.
113 Atsižvelgiant į tai, įvairios aplinkybės leidžia manyti, kad šiuo atveju asmens, kuris, kaip įtariama, vykdė autorių teises ar gretutines teises pažeidžiančią veiklą, privataus gyvenimo suvaržymas, kurį leidžia tokie teisės aktai, kaip nagrinėjami pagrindinėje byloje, nebūtinai yra labai didelis. Visų pirma pagal tokius teisės aktus Hadopi turima prieiga prie nagrinėjamų asmens duomenų suteikiama tik ribotam šios viešosios valdžios institucijos, t. y. įstaigos, kuri pagal CPI L. 331‑12 straipsnį turi nepriklausomą statusą, įgaliotų ir prisiekusių tarnautojų skaičiui. Be to, vienintelis šios prieigos tikslas – nustatyti asmenį, kuris, kaip įtariama, vykdė autorių teises ar gretutines teises pažeidžiančią veiklą, kai konstatuojama, kad saugomas kūrinys buvo neteisėtai padarytas prieinamas iš jo interneto prieigos. Galiausiai Hadopi prieiga prie nagrinėjamų asmens duomenų griežtai ribojama šiuo tikslu reikalingais duomenimis (pagal analogiją žr. 2019 m. spalio 17 d. EŽTT sprendimo López Ribalda ir kt. prieš Ispaniją, CE:ECHR:2019:1017JUD000187413, 126 ir 127 punktus).
114 Kita aplinkybė, galinti dar labiau sumažinti pagrindinių teisių į privataus gyvenimo ir asmens duomenų apsaugą suvaržymo, atsirandančio dėl minėtos Hadopi prieigos, mastą, kaip matyti iš Teisingumo Teismo turimos bylos medžiagos (tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas), yra susijusi su tuo, kad pagal taikytinus nacionalinės teisės aktus Hadopi tarnautojams, turintiems prieigą prie atitinkamų duomenų ir informacijos, taikoma konfidencialumo pareiga, pagal kurią jiems draudžiama juos atskleisti bet kokia forma, išskyrus kreipimąsi į prokuratūrą, ir naudoti juos kitais tikslais, nei nustatyti IP adreso turėtoją, kuris, kaip įtariama, vykdė autorių teises ir gretutines teises pažeidžiančią veiklą, siekiant jam pritaikyti vieną iš vykdant laipsniško reagavimo procedūrą numatytų priemonių (pagal analogiją žr. 2009 m. gruodžio 17 d. EŽTT sprendimo Gardel prieš Prancūziją, CE:ECHR:2009:1217JUD001642805, 70 punktą).
115 Taigi, jeigu nacionalinės teisės aktai atitinka šio sprendimo 101 punkte primintas sąlygas, tokiai viešosios valdžios institucijai, kaip Hadopi, perduoti IP adresai neleidžia sekti jų turėtojo naršymo kelių, o tai patvirtina išvadą, kad suvaržymas, kurį lemia šios institucijos prieiga prie pagrindinėje byloje nagrinėjamų tapatybės duomenų, negali būti laikomas dideliu.
116 Trečia, reikia priminti, kad siekiant užtikrinti būtiną nagrinėjamą teisių ir interesų suderinimą, kaip tai išplaukia iš Direktyvos 2002/58 15 straipsnio 1 dalies pirmame sakinyje įtvirtinto proporcingumo reikalavimo, net jei saviraiškos laisvė ir asmens duomenų konfidencialumas yra itin svarbūs, o telekomunikacijų ir interneto paslaugų naudotojams turi būti užtikrinta, kad bus gerbiamas jų privatumas ir saviraiškos laisvė, šios pagrindinės teisės nėra absoliučios. Iš tiesų, vertinant nagrinėjamas teises ir interesus, kartais vienus jų nusveria kitos pagrindinės teisės ir bendrojo intereso reikalavimai, kaip antai viešosios tvarkos apsauga ir nusikalstamų veikų prevencija, arba kitų asmenų teisių ir laisvių apsauga. Taip visų pirma yra tuo atveju, kai minėtiems itin svarbiems atvejams teikiama pirmenybė gali pakenkti baudžiamojo tyrimo veiksmingumui, be kita ko, kai tampa neįmanomą arba pernelyg sudėtinga veiksmingai nustatyti nusikalstamą veiką padariusį asmenį ir skirti jam sankciją (pagal analogiją žr. 2009 m. kovo 2 d. EŽTT sprendimo K.U. prieš Suomiją, CE:ECHR:2008:1202JUD000287202, 49 punktą).
117 Šiomis aplinkybėmis reikia tinkamai atsižvelgti į tai kad, kaip jau yra nusprendęs Teisingumo Teismas, internete padarytų nusikalstamų veikų atveju prieiga prie IP adresų gali būti vienintelė tyrimo priemonė, leidžianti veiksmingai nustatyti asmenį, kuriam šis adresas buvo priskirtas nusikalstamos veikos padarymo momentu (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 154 punktą).
118 Kaip savo 2023 m. rugsėjo 28 d. išvados 59 punkte iš esmės pažymėjo generalinis advokatas, ši aplinkybė patvirtina, kad šių adresų saugojimas ir prieiga prie jų yra griežtai būtini kovojant su nusikalstamomis veikomis, kaip antai veikomis, susijusiomis su autorių teisių ar gretutinių teisių pažeidimais, padarytais internete, siekiant užsibrėžto tikslo, ir atitinka proporcingumo reikalavimą, nustatytą Direktyvos 2002/58 15 straipsnio 1 dalyje, siejamoje su šios direktyvos 11 konstatuojamąja dalimi ir Chartijos 52 straipsnio 2 dalimi.
119 Be to, tokios prieigos nesuteikimas reikštų, kaip iš esmės pažymėjo generalinis advokatas savo 2022 m. spalio 27 d. išvados 78–80 punktuose ir 2023 m. rugsėjo 28 d. išvados 80 ir 81 punktuose, realų sisteminio nebaudžiamumo pavojų ne tik dėl nusikalstamų veikų, kuriomis pažeidžiamos autorių ar gretutinės teisės, bet ir dėl internete padarytų kitų rūšių nusikalstamų veikų, kurios įvykdamos ar rengiamos pasinaudojant interneto ypatumais. Toks pavojus yra reikšminga aplinkybė siekiant įvertinti, ar, nustatant įvairių esamų teisių ir interesų pusiausvyrą, Chartijos 7, 8 ir 11 straipsniuose įtvirtintų teisių suvaržymas yra proporcinga priemonė, atsižvelgiant į tikslą kovoti su nusikalstamomis veikomis.
120 Tiesa, kad valdžios institucijos, kaip antai Hadopi, prieiga prie civilinės tapatybės duomenų, atitinkančių IP adresą, iš kurio buvo padaryta nusikalstama veika internete, nebūtinai yra vienintelė tyrimo priemonė, kurią galima pasitelkti, siekiant nustatyti šį adresą turinčio asmens tapatybę šios nusikalstamos veikos padarymo momentu. Iš tiesų tapatybė taip pat galėtų a priori būti nustatyta išnagrinėjus visą atitinkamo asmens veiklą internete, be kita ko, analizuojant „pėdsakus“, kuriuos jis galėjo palikti socialiniuose tinkluose, kaip antai šiuose tinkluose naudojamą identifikatorių arba jo kontaktinius duomenis.
121 Vis dėlto, kaip savo 2023 m. rugsėjo 28 d. išvados 83 punkte pažymėjo generalinis advokatas, tokia tyrimo priemonė būtų itin intervencinio pobūdžio, nes galėtų atskleisti tikslią informaciją apie duomenų subjektų privatų gyvenimą. Taigi tai reikštų didesnį Chartijos 7, 8 ir 11 straipsniuose įtvirtintų šių asmenų teisių suvaržymą nei tas, kurį lemia tokie teisės aktai, kaip nagrinėjami pagrindinėje byloje.
122 Iš to, kas išdėstyta, matyti, kad Direktyvos 2002/58 15 straipsnio 1 dalis, siejama su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinama taip, kad pagal ją iš principo nedraudžiami nacionalinės teisės aktai, leidžiantys viešosios valdžios institucijai, atsakingai už autorių teisių ir gretutinių teisių apsaugą nuo internete padarytų šių teisių pažeidimų, suteikti prieigą prie civilinės tapatybės duomenų, atitinkančių IP adresus, kuriuos iš anksto surinko teisių turėtojų organizacijos ir kuriuos atskirai ir veiksmingai saugo elektroninių ryšių paslaugų teikėjai, siekdami vienintelio tikslo – kad ši institucija galėtų nustatyti adresų turėtojus, įtariamus padarius šiuos pažeidimus, ir prireikus galėtų jiems taikyti priemones. Tokiu atveju taikytinuose nacionalinės teisės aktuose turi būti numatyta, kad tokią prieigą turintiems pareigūnams draudžiama, pirma, bet kokia forma atskleisti informaciją apie rinkmenų, su kuriomis susipažino šie turėtojai, turinį, išskyrus atvejus, kai siekiama kreiptis į prokuratūrą, antra, sekti šių adresų savininkų naršymo kelius ir, trečia, naudoti šiuos IP adresus kitais tikslais, nei ketinant imtis šių priemonių.
Dėl reikalavimo, kad teismas arba nepriklausoma administracinė institucija atliktų kontrolę prieš suteikiant valdžios institucijai prieigą prie IP adresą atitinkančių civilinės tapatybės duomenų
123 Vis dėlto kyla klausimas, ar valdžios institucijos prieigai prie IP adresą atitinkančių civilinės tapatybės duomenų taip pat turi būti taikoma išankstinė teismo arba nepriklausomos administracinės institucijos atliekama kontrolė.
124 Šiuo klausimu, siekiant praktiškai užtikrinti visišką sąlygų, kurias valstybės narės turi numatyti siekdamos garantuoti, kad prieiga būtų apribota tuo, kas griežtai būtina, laikymąsi, Teisingumo Teismas nusprendė, jog „iš esmės būtina“, kad, prieš suteikiant kompetentingoms nacionalinėms institucijoms prieigą prie saugomų duomenų, teismas arba nepriklausoma administracinė institucija atliktų išankstinę kontrolę (šiuo klausimu žr. 2016 m. gruodžio 21 d. Sprendimo Tele2 Sverige ir Watson ir kt., C‑203/15 ir C‑698/15, EU:C:2016:970, 120 punktą; 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 189 punktą; 2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos), C‑746/18, EU:C:2021:152, 51 punktą ir 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 106 punktą).
125 Atliekant šią išankstinę kontrolę, visų pirma reikalaujama, kad teismas ar nepriklausoma administracinė institucija, kuriai pavesta ją atlikti, turėtų visus įgaliojimus ir garantijas, būtinas užtikrinti įvairiems nagrinėjamiems interesams ir teisių suderinimui. Konkrečiau kalbant apie ikiteisminį tyrimą, pažymėtina, kad tokiai kontrolei vykdyti reikia, kad šis teismas arba institucija galėtų užtikrinti teisingą interesų, susijusių su tyrimo poreikiais kovojant su nusikalstamumu, ir asmenų, prie kurių duomenų suteikiama prieiga, pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą pusiausvyrą (2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 107 punktas ir jame nurodyta jurisprudencija).
126 Antra, kai šią kontrolę vykdo ne teismas, o nepriklausoma administracinė institucija, ji turi turėti statusą, leidžiantį jai vykdyti savo funkcijas objektyviai ir nešališkai, ir šiuo tikslu ji turi būti apsaugota nuo bet kokios išorinės įtakos. Taigi nepriklausomumo reikalavimas, kurį turi atitikti subjektas, atsakingas už išankstinės kontrolės vykdymą, reiškia, kad šis subjektas turi turėti trečiojo asmens statusą prieigą prie duomenų prašančios institucijos, kad galėtų vykdyti šią kontrolę objektyviai ir nešališkai ir būtų apsaugotas nuo bet kokios išorinės įtakos. Konkrečiai baudžiamosios teisės srityje nepriklausomumo reikalavimas reiškia, kad už šią išankstinę kontrolę atsakinga institucija, pirma, nedalyvauja vykdant nagrinėjamą ikiteisminį tyrimą ir, antra, turi būti nešališka baudžiamojo proceso šalims (2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 108 punktas ir jame nurodyta jurisprudencija).
127 Trečia, nepriklausoma kontrolė, kurios reikalaujama pagal Direktyvos 2002/58 15 straipsnio 1 dalį, turi būti atliekama prieš bet kokią prieigą prie atitinkamų duomenų, išskyrus tinkamai pagrįstus skubos atvejus, kai tokią kontrolę reikia atlikti per trumpą laiką. Iš tiesų vėlesnė kontrolė neleistų pasiekti išankstinės kontrolės tikslo – užkirsti kelią tam, kad būtų suteikta prieiga prie nagrinėjamų duomenų, viršijant tai, kas griežtai būtina (2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 110 punktas).
128 Vis dėlto, nors, kaip matyti iš šio sprendimo 124 punkte primintos jurisprudencijos, Teisingumo Teismas nusprendė, kad „iš esmės būtina“, kad kompetentingų nacionalinių institucijų prieigai prie srauto ir vietos nustatymo duomenų būtų taikoma išankstinė teismo arba nepriklausomos administracinės institucijos kontrolė, ši jurisprudencija buvo suformuota dėl nacionalinių priemonių, kuriomis, siekiant kovos su sunkiais nusikaltimais tikslo, leidžiama bendrai susipažinti su visais saugomais srauto ir vietos nustatymo duomenimis, neatsižvelgiant į kokį nors, net netiesioginį, ryšį su siekiamu tikslu, taigi jos lemia didelį, ar net „ypač didelį“ atitinkamų pagrindinių teisių suvaržymą.
129 Vis dėlto nagrinėdamas sąlygas, kurioms esant prieiga prie civilinės tapatybės duomenų galėjo būti pateisinama pagal Direktyvos 2002/58 15 straipsnio 1 dalį, siejamą su Chartijos 7, 8 ir 11 straipsniais, Teisingumo Teismas aiškiai nenurodė tokios išankstinės kontrolės reikalavimo (šiuo klausimu žr. 2018 m. spalio 2 d. Sprendimo Ministerio Fiscal, C‑207/16, EU:C:2018:788, 59, 60 ir 62 punktus; 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 157 ir 158 punktus bei 2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių pranešimų duomenų sąlygos), C‑746/18, EU:C:2021:152, 34 punktą).
130 Iš Teisingumo Teismo jurisprudencijos, susijusios su proporcingumo principu, kurio laikytis reikalaujama pagal Direktyvos 2002/58 15 straipsnio 1 dalies pirmą sakinį, visų pirma iš jurisprudencijos, pagal kurią valstybių narių galimybė pateisinti teisių ir pareigų, numatytų, be kita ko, šios direktyvos 5, 6 ir 9 straipsniuose, apribojimą turi būti vertinama atsižvelgiant į Chartijos 7, 8 ir 11 straipsniuose įtvirtintų pagrindinių teisių suvaržymo, kurį lemia toks apribojimas, dydį ir tikrinant, ar šiuo apribojimu siekiamo bendrojo intereso tikslo svarba jį atitinka (2020 m. spalio 6 d. Sprendimas La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 131 punktas), matyti, kad dėl prieigos prie nagrinėjamų asmens duomenų atsirandančio atitinkamų pagrindinių teisių suvaržymo mastas ir tų duomenų jautrumo laipsnis taip pat turi turėti įtakos nustatant materialias ir procedūrines garantijas, kurios turi būti taikomos šiai prieigai; tarp jų yra reikalavimas, kad išankstinę kontrolę atliktų teismas arba nepriklausoma administracinė institucija.
131 Taigi, atsižvelgiant į šį proporcingumo principą, reikia konstatuoti, kad išankstinės teismo arba nepriklausomos administracinės institucijos kontrolės reikalavimas taikomas, kai pagal nacionalinės teisės aktus, kuriuose numatyta valdžios institucijos prieiga prie asmens duomenų, ši prieiga kelia didelio duomenų subjekto pagrindinių teisių suvaržymo pavojų, nes ji leistų valdžios institucijai padaryti tikslias išvadas apie jo privatų gyvenimą ir prireikus nustatyti išsamų jo profilį.
132 Ir atvirkščiai, šis išankstinės kontrolės reikalavimas netaikomas, kai atitinkamų pagrindinių teisių suvaržymas, kurį lemia valdžios institucijos prieiga prie asmens duomenų, negali būti kvalifikuojamas kaip didelis.
133 Taip yra prieigos prie duomenų, susijusių su elektroninių ryšių priemonių naudotojų civiline tapatybe, atveju, vien siekiant nustatyti atitinkamo naudotojo tapatybę, kai šie duomenys negali būti susieti su informacija, susijusia su pranešimais, nes pagal Teisingumo Teismo jurisprudenciją suvaržymas, kurį lemia toks minėtų duomenų tvarkymas, iš principo negali būti kvalifikuojamas kaip didelis (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 157 ir 158 punktus).
134 Taigi, jeigu šio sprendimo 86–89 punktuose aprašytas duomenų saugojimo mechanizmas yra nustatytas, viešosios valdžios institucijos prieigai prie taip saugomų IP adresus atitinkančių civilinės tapatybės duomenų iš principo netaikomas reikalavimas, kad išankstinę kontrolę atliktų teismas arba nepriklausoma administracinė institucija.
135 Atsižvelgiant į tai, kaip jau buvo nurodyta šio sprendimo 110 ir 111 punktuose, negalima atmesti galimybės, kad, esant netipinėms situacijoms, viešosios valdžios institucijai per tokią procedūrą, kaip pagrindinėje byloje nagrinėjama laipsniško reagavimo procedūra, suteikta ribota informacija ir duomenys gali atskleisti informaciją, kartais ir jautrią, apie duomenų subjekto privataus gyvenimo aspektus, t. y. informaciją, kuri, vertinama kartu, leistų šiai valdžios institucijai padaryti tikslias išvadas apie duomenų subjekto privatų gyvenimą ir prireikus nustatyti jo išsamų profilį.
136 Kaip matyti iš šio sprendimo 112 punkto, toks pavojus privačiam gyvenimui gali kilti, be kita ko, kai asmuo pakartotinai ar net dideliu mastu lygiarangių tinkluose vykdo autorių teises ar gretutines teises pažeidžiančią veiklą, susijusią su saugomais konkrečių rūšių kūriniais, kuriuos galima sugrupuoti pagal jų pavadinimus, galinčius atskleisti informaciją (tam tikrais atvejais jautrią) apie jo privatų gyvenimą.
137 Taigi nagrinėjamu atveju, vykstant laipsniško reagavimo administracinei procedūrai, IP adreso turėtojas gali susidurti su tokiu pavojumi jo privačiam gyvenimui, kai ši procedūra pasiekia etapą, kai Hadopi turi nuspręsti, ar kreiptis į prokuratūrą dėl šio IP adreso turėtojo patraukimo atsakomybėn už veiksmus, kurie gali būti laikomi nusižengimu, kvalifikuojamu kaip didelis aplaidumas arba nusikaltimas, susijęs su intelektinės nuosavybės teisių pažeidimu.
138 Iš tiesų šis kreipimasis suponuoja, kad minėtam IP adreso turėtojui jau buvo pateiktos dvi rekomendacijos ir pranešimas, kuriuo jis informuojamas apie tai, kad už jo veiksmus gali būti patrauktas baudžiamojon atsakomybėn, t. y. taikytos priemonės, reiškiančios, kad kiekvienu atveju Hadopi turėjo prieigą prie IP adreso, kuris buvo naudojamas atliekant autorių ar gretutines teises pažeidžiančią veiklą, turėtojo civilinės tapatybės duomenų ir prie su šiuo kūriniu susijusios rinkmenos, kurios pavadinimas iš esmės sutampa su kūrinio pavadinimu.
139 Vis dėlto negalima atmesti galimybės, kad, vertinant kartu ir vykstant laipsniško reagavimo administracinei procedūrai, įvairiuose šios procedūros etapuose taip pateikti duomenys gali atskleisti susietą ir tam tikrais atvejais jautrią informaciją apie duomenų subjekto privataus gyvenimo aspektus, prireikus leidžiančius nustatyti jo profilį.
140 Taigi teisės į privataus gyvenimo gerbimą pažeidimo intensyvumas gali didėti, kai nuosekliai vykdoma laipsniško reagavimo procedūra pereina įvairius ją sudarančius etapus.
141 Nagrinėjamu atveju Hadopi prieiga prie visų per įvairius šios procedūros etapus gautų duomenų apie duomenų subjektą, susiejant šiuos duomenis, gali leisti padaryti tikslias išvadas apie jo gyvenimą. Taigi vykstant tokiai procedūrai, kaip pagrindinėje byloje nagrinėjama laipsniško reagavimo procedūra, nacionalinės teisės aktuose tam tikroje šios procedūros stadijoje taip pat turi būti numatyta išankstinė teismo arba nepriklausomos administracinės institucijos, atitinkančios šio sprendimo 125–127 punktuose nurodytas sąlygas, atliekama kontrolė, kad būtų išvengta neproporcingo duomenų subjekto pagrindinių teisių į privataus gyvenimo ir asmens duomenų apsaugą suvaržymo pavojaus. Tai reiškia, kad praktiškai tokia kontrolė turi būti vykdoma prieš Hadopi susiejant IP adresą atitinkančius asmens (kuriam jau pateiktos dvi rekomendacijos) civilinės tapatybės duomenis, gautus iš elektroninių ryšių paslaugų teikėjo, ir rinkmeną, susijusią su kūriniu, kuris padarytas prieinamas internete, kad jį parsisiųstų kiti asmenys. Taigi minėta kontrolė turi būti atlikta prieš išsiunčiant CPI R. 331‑40 straipsnyje nurodytą pranešimą, kuriame konstatuojama, kad šis asmuo atliko veiksmus, kurie gali būti laikomi nusikalstama veika dėl didelio aplaidumo. Tik po tokios išankstinės kontrolės, kurią atlieka teismas ar nepriklausoma administracinė institucija, ir jos leidimo Hadopi gali išsiųsti tokį pranešimą ir prireikus kreiptis į prokuratūrą dėl baudžiamojo persekiojimo už šią nusikalstamą veiką.
142 Hadopi turėtų būti leista nustatyti atvejus, kai atitinkamo IP adreso turėtojas pasiekia trečiąjį tokios laipsniško reagavimo procedūros etapą. Taigi ši procedūra turi būti organizuota ir struktūruota taip, kad Hadopi tarnautojai, įgalioti analizuoti faktines aplinkybes, negalėtų automatiškai susieti asmens civilinės tapatybės duomenų, atitinkančių iš elektroninių ryšių paslaugų teikėjų iš anksto surinktus IP adresus, su rinkmenomis, kuriose yra duomenų, leidžiančių sužinoti pavadinimus saugomų kūrinių, kurių padarymas prieinamų internete pateisina tokį duomenų rinkimą.
143 Taigi toks susiejimas minėto laipsniško reagavimo trečiojo etapo tikslu turi būti sustabdytas, kai minėtų civilinės tapatybės duomenų rinkimas, atitinkantis galimą antrą kartą pakartojamą autorių teises ar gretutines teises pažeidžiančią veiklą, lemia reikalavimą, kad teismas arba nepriklausoma administracinė institucija atliktų šio sprendimo 141 punkte aprašytą išankstinę kontrolę.
144 Be to, šio sprendimo 141–143 punktuose nurodyto išankstinės kontrolės reikalavimo patikslinimas, kad jis taikomas tik šios laipsniško reagavimo procedūros trečiajam etapui ir netaikomas ankstesniems jos etapams, taip pat leidžia atsižvelgti į argumentą, kad reikia užtikrinti šios procedūros, pasižyminčios (ypač jos etapuose iki galimo pranešimo išsiuntimo, ir prireikus iki kreipimosi į prokuratūrą) masiniu valdžios institucijos prieigų prašymų skaičiumi (jį lemia toks pat didelis pažeidimo protokolų, kuriuos joms perduoda teisių turėtojų organizacijos, skaičius), praktiškumą.
145 Be to, kiek tai susiję su šio sprendimo 141–143 punktuose nurodytos išankstinės kontrolės dalyku, iš šio sprendimo 95 ir 96 punktuose primintos jurisprudencijos matyti, kad tais atvejais, kai duomenų subjektas įtariamas padaręs nusikalstamą veiką, CPI R. 335–5 straipsnyje apibrėžiamą kaip „didelis aplaidumas“, priskiriamą nusikalstamoms veikoms apskritai, teismas arba nepriklausoma administracinė institucija, atsakinga už šią kontrolę, turi atsisakyti leisti susipažinti su duomenimis, jeigu tai leistų prašančiai valdžios institucijai padaryti tikslias išvadas apie minėto asmens privatų gyvenimą.
146 Vis dėlto prieiga, leidžianti padaryti tokias tikslias išvadas, turėtų būti leidžiama tais atvejais, kai šiam teismui ar nepriklausomai administracinei institucijai pateikta informacija leidžia įtarti, kad duomenų subjektas padarė CPI L. 335‑2 straipsnyje arba šio kodekso L. 335‑4 straipsnyje nurodytą intelektinės nuosavybės teisių pažeidimą, kvalifikuojamą kaip nusikaltimas, nes valstybė narė gali manyti, kad toks nusikaltimas, pažeidžiantis pagrindinį visuomenės interesą, yra vienas iš sunkių nusikaltimų.
147 Galiausiai dėl šios išankstinės kontrolės sąlygų Prancūzijos vyriausybė mano, kad, atsižvelgiant į specifinius Hadopi prieigos prie nagrinėjamų duomenų aspektus, ypač į jos masinį pobūdį, būtų tikslinga, kad išankstinė kontrolė, jei to būtų reikalaujama, būtų visiškai automatizuota. Iš tiesų tokia visiškai objektyvaus pobūdžio kontrole iš esmės siekiama patikrinti, ar kreipimosi į Hadopi protokole yra visa reikalaujama informacija ir duomenys, o ši institucija neturi jų vertinti.
148 Vis dėlto išankstinė kontrolė jokiu būdu negali būti visiškai automatizuota, nes, kaip matyti iš šio sprendimo 125 punkte primintos jurisprudencijos, kiek tai susiję su baudžiamuoju tyrimu, tokiai kontrolei vykdyti reikia, kad teismas arba nepriklausoma administracinė institucija galėtų užtikrinti teisingą, pirma, interesų, susijusių su tyrimo poreikiais kovojant su nusikalstamumu, ir, antra, asmenų, prie kurių duomenų suteikiama prieiga, pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą pusiausvyrą.
149 Iš tiesų siekiant užtikrinti tokią įvairių teisėtų interesų ir atitinkamų teisių pusiausvyrą būtinas fizinio asmens įsikišimas, juo labiau kad dėl nagrinėjamo duomenų tvarkymo automatizuoto pobūdžio ir didelio masto kyla pavojus privačiam gyvenimui.
150 Be to, visiškai automatizuota kontrolė iš principo negali užtikrinti, kad prieiga neviršytų to, kas griežtai būtina, ir kad asmenims, kurių asmens duomenys tvarkomi, būtų taikomos veiksmingos apsaugos priemonės nuo piktnaudžiavimo rizikos, taip pat nuo bet kokios neteisėtos prieigos prie šių duomenų ar jų neteisėto naudojimo.
151 Taigi, nors automatizuota kontrolė gali leisti patikrinti tam tikrą teisių turėtojų organizacijų protokoluose esančią informaciją, tokia kontrolė bet kuriuo atveju turi būti derinama su fizinių asmenų, visiškai atitinkančių šio sprendimo 125–127 punktuose primintus reikalavimus, atliekama kontrole.
Dėl reikalavimų, susijusių su materialinėmis ir procedūrinėmis sąlygomis ir garantijomis nuo piktnaudžiavimo pavojaus, taip pat nuo bet kokios neteisėtos prieigos prie šių duomenų ir bet kokio neteisėto jų naudojimo, taikomų tam, kad valdžios institucija galėtų susipažinti su IP adresą atitinkančiais civilinės tapatybės duomenimis
152 Iš Teisingumo Teismo jurisprudencijos matyti, kad prieiga prie asmens duomenų gali atitikti Direktyvos 2002/58 15 straipsnio 1 dalyje įtvirtintą proporcingumo reikalavimą, tik jeigu teisėkūros priemonėje, kuria leidžiama tai daryti, aiškiomis ir tiksliomis taisyklėmis užtikrinama, kad minėtai prieigai būtų taikomos susijusios materialinės ir procedūrinės sąlygos, o duomenų subjektai turėtų veiksmingas garantijas nuo piktnaudžiavimo pavojų ir nuo bet kokios neteisėtos prieigos prie šių duomenų ar jų neteisėto naudojimo (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 132 ir 173 punktus ir 2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos), C‑746/18, EU:C:2021:152, 49 punktą ir jame nurodytą jurisprudenciją).
153 Kaip pažymėjo Teisingumo Teismas, būtinybė turėti tokias garantijas yra dar svarbesnė tais atvejais, kai asmens duomenys tvarkomi automatizuotai (2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 176 punktas ir jame nurodyta jurisprudencija).
154 Atsakydama į Teisingumo Teismo klausimą, pateiktą per 2022 m. liepos 5 d. posėdį, Prancūzijos vyriausybė patvirtino, kad, kaip, beje, nurodyta CPI L. 331‑29 straipsnyje, Hadopi prieiga prie civilinės tapatybės duomenų, vykstant laipsniško reagavimo procedūrai, iš esmės išplaukia iš automatizuoto duomenų tvarkymo, kuris paaiškinamas masiniu teisių turėtojų organizacijų lygiarangių tinkluose nustatytų intelektinės nuosavybės teisės pažeidimų pobūdžiu; informacija apie nustatytus pažeidimus Hadopi perduodama protokolų pavidalu.
155 Visų pirma iš Teisingumo Teismo turimos bylos medžiagos matyti, kad tvarkydami duomenis Hadopi pareigūnai iš esmės automatizuotai ir neįvertindami atitinkamų faktinių aplinkybių patikrina, ar jai pateiktuose protokoluose yra visa Dekreto Nr. 2010‑236 priedo 1 punkte nurodyta informacija ir duomenys, visų pirma atitinkamos aplinkybės, susijusios su kūrinio neteisėtu padarymu prieinamo internete, ir šiuo tikslu naudojami IP adresai. Vis dėlto toks duomenų tvarkymas turi būti derinamas su fizinių asmenų atliekama kontrole.
156 Kadangi toks automatizuotas duomenų tvarkymas gali būti susijęs su tam tikru klaidingų rezultatų skaičiumi ir ypač pavojumi, kad trečiosios šalys gali pasisavinti potencialiai labai didelį kiekį asmens duomenų piktnaudžiavimo ar neteisėtais tikslais, svarbu, kad teisėkūros priemonėje nustatytą valdžios institucijos naudojamą duomenų tvarkymo sistemą reguliariai tikrintų nepriklausoma įstaiga, kuri yra su ta institucija nesusijusi trečioji šalis, siekiant patikrinti sistemos vientisumą, įskaitant veiksmingas apsaugos priemones, kurios turi būti numatytos pagal tokioje duomenų tvarkymo sistemoje, nuo piktnaudžiavimo pavojaus ir nuo bet kokios neteisėtos prieigos prie tų duomenų ar jų naudojimo, taip pat jos veiksmingumą ir patikimumą nustatant trūkumus, kurie, jei pasikartotų, galėtų būti vertinami kaip didelis aplaidumas ar intelektinės nuosavybės teisių pažeidimas.
157 Galiausiai reikia pridurti, kad valdžios institucijai tvarkant asmens duomenis, kaip antai Hadopi vykdant laipsniško reagavimo procedūrą, turi būti laikomasi Direktyvoje 2016/680 (jos tikslas, kaip nurodyta 1 straipsnyje, yra nustatyti taisykles, susijusias su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais) numatytų specialių šių duomenų apsaugos taisyklių.
158 Iš tiesų nagrinėjamu atveju, nors pagal taikytiną nacionalinę teisę Hadopi neturi įgaliojimų priimti sprendimų, kai tvarko asmens duomenis vykstant laipsniško reagavimo procedūrai, ir priima priemones, pavyzdžiui, siunčia duomenų subjektui rekomendaciją ar pateikia informaciją apie tai, kad už nagrinėjamas veiklas gali būti taikomas baudžiamasis persekiojimas, ji turi būti laikoma „valdžios institucija“, kaip tai suprantama pagal Direktyvos 2016/680 3 straipsnį, dalyvaujančia nusikalstamų veikų, t. y. pažeidimo dėl didelio neatsargumo arba nusikaltimo, susijusio intelektinės nuosavybės teisių pažeidimu, prevencijos ir atskleidimo veikloje, taigi pagal šios direktyvos 1 straipsnį patenka į jos taikymo sritį.
159 Šiuo klausimu Prancūzijos vyriausybė, atsakydama į Teisingumo Teismo per 2022 m. liepos 5 d. posėdį pateiktą klausimą, nurodė: kadangi priemonės, kurių Hadopi imasi įgyvendindama laipsnišką reagavimo procedūrą, „yra ikiteisminio pobūdžio ir tiesiogiai susijusios su teismo procesu“, jai taikoma priemonių, skirtų kūrinių apsaugai internete, administravimo sistema, kaip matyti iš prašymą priimti prejudicinį sprendimą pateikusio teismo jurisprudencijos, reglamentuojama nacionalinės teisės nuostatomis, kuriomis į nacionalinę teisę perkeliama Direktyva 2016/680.
160 Vis dėlto toks Hadopi atliekamas duomenų tvarkymas nepatenka į BDAR taikymo sritį. Iš tiesų BDAR 2 straipsnio 2 dalies d punkte numatyta, kad šis reglamentas netaikomas asmens duomenų tvarkymui, kai duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.
161 Kaip savo 2022 m. spalio 27 d. išvados 104 punkte pažymėjo generalinis advokatas, kadangi vykdydama laipsniško reagavimo procedūrą Hadopi turi laikytis Direktyvos (ES) 2016/680 nuostatų, tokioje procedūroje dalyvaujantiems asmenims turi būti taikomos materialinės ir procedūrinės garantijos, įskaitant teisę susipažinti su Hadopi tvarkomais asmens duomenimis, teisę į jų ištaisymą ir ištrynimą, taip pat galimybę pateikti skundą nepriklausomai priežiūros institucijai, paskui, jei reikia, pasinaudoti teismine teisių gynimo priemone bendrosiose teisės normose nustatytomis sąlygomis.
162 Šiomis aplinkybėmis iš pagrindinėje byloje nagrinėjamų nacionalinės teisės aktų matyti, kad, vykstant laipsniško reagavimo procedūrai, t. y. kai išsiunčiama antroji rekomendacija ir vėliau pranešama, kad konstatuotos faktinės aplinkybės gali būti kvalifikuojamos kaip nusikalstama veika, šių pranešimų adresatas naudojasi tam tikromis procedūrinėmis garantijomis, kaip antai teise pateikti pastabas, teise gauti paaiškinimų dėl pažeidimo, kuriuo jis kaltinamas, taip pat, kiek tai susiję su minėtu pranešimu, teise prašyti surengti apklausą ir gauti advokato pagalbą.
163 Bet kuriuo atveju prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar šiuose nacionalinės teisės aktuose numatytos visos Direktyvoje 2016/680 nustatytos materialinės ir procedūrinės garantijos.
164 Atsižvelgiant į visa tai, kas išdėstyta, į tris prejudicinius klausimus reikia atsakyti: Direktyvos 2002/58 15 straipsnio 1 dalis, siejama su Chartijos 7, 8, 11 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinama taip, kad pagal ją nedraudžiami nacionalinės teisės aktai, pagal kuriuos viešosios valdžios institucijai, kuriai pavesta ginti autorių ir gretutines teises nuo pažeidimų internete, leidžiama susipažinti su viešai prieinamų elektroninių ryšių paslaugų teikėjų saugomais IP adresus atitinkančiais civilinės tapatybės duomenimis, kuriuos iš anksto surinko teisių turėtojų organizacijos, kad ši valdžios institucija galėtų nustatyti tokių adresų, naudojamų veiklai, kuri gali būti pripažinta pažeidimu, turėtojus, ir prireikus imtis priemonių jų atžvilgiu, su sąlyga, kad pagal šiuos teisės aktus:
– šie duomenys saugomi laikantis sąlygų ir techninės tvarkos, užtikrinančios, kad toks saugojimas neleis padaryti tikslių išvadų apie šių IP adresų turėtojų privatų gyvenimą, pavyzdžiui, nustatant išsamų jų profilį, o tai galima padaryti visų pirma nustatant elektroninių ryšių paslaugų teikėjams pareigą saugoti įvairių kategorijų asmens duomenis, kaip antai civilinės tapatybės duomenis, IP adresus, taip pat srauto ir vietos nustatymo duomenis, užtikrinant veiksmingą šių skirtingų kategorijų duomenų atskyrimą, užkertant kelią tam, kad būtų susiejami šių skirtingų kategorijų duomenys, ir ne ilgiau, nei griežtai būtina,
– šios valdžios institucijos prieiga prie tokių atskirai saugomų duomenų skirta tik tam, kad būtų nustatytas asmuo, įtariamas padaręs nusikalstamą veiką, ir tokiai prieigai būtų taikomos būtinos garantijos, kad, išskyrus netipines situacijas, ji neleistų padaryti tikslių išvadų apie IP adresų turėtojų privatų gyvenimą, pavyzdžiui, nustatant išsamų jų profilį, o tai visų pirma reiškia, kad šios institucijos pareigūnams, įgaliotiems turėti tokią prieigą, draudžiama bet kokia forma atskleisti informaciją apie rinkmenų, su kuriomis susipažino šie turėtojai, turinį, išskyrus atvejus, kai siekiama kreiptis į prokuratūrą, sekti šių adresų savininkų naršymo kelius ir apskritai naudoti šiuos IP adresus kitais tikslais, nei siekiant imtis priemonių prieš tokių adresų turėtojus,
– galimybė asmenims, atsakingiems už minėtos valdžios institucijos atliekamą faktinių aplinkybių nagrinėjimą, susieti tokius duomenis su rinkmenomis, kuriose yra duomenų, leidžiančių nustatyti saugomų kūrinių, kurių padarymas prieinamų internete pateisina teisių turėtojų organizacijų atliekamą IP adresų rinkimą, pavadinimus, jeigu tas pats asmuo vėl pradeda vykdyti veiklą, kuria pažeidžiamos autorių ar gretutinės teisės, būtų suteikiama su sąlyga, kad taikoma teismo arba nepriklausomos administracinės institucijos kontrolė, kuri negali būti visiškai automatizuota ir turi būti atlikta prieš susiejant duomenis su rinkmenomis, nes tokiais atvejais gali būti įmanoma padaryti tikslias išvadas apie asmens, kurio IP adresas buvo naudojamas veiklai, galinčiai pažeisti autorių ar gretutines teises, privatų gyvenimą,
– valdžios institucijos naudojamą duomenų tvarkymo sistemą reguliariai tikrintų nepriklausoma įstaiga, kuri yra su ta institucija nesusijusi trečioji šalis, siekiant patikrinti sistemos vientisumą, įskaitant veiksmingas apsaugos priemones nuo piktnaudžiavimo pavojaus ir nuo bet kokios neteisėtos prieigos prie tų duomenų ar jų neteisėto naudojimo, taip pat jos veiksmingumą ir patikimumą nustatant galimus trūkumus.
Dėl bylinėjimosi išlaidų
165 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (plenarinė sesija) nusprendžia:
2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), iš dalies pakeistos 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/136/EB, 15 straipsnio 1 dalis, siejama su Europos Sąjungos pagrindinių teisių chartijos 7, 8 ir 11 straipsniais ir 52 straipsnio 1 dalimi,
turi būti aiškinama taip:
pagal ją nedraudžiami nacionalinės teisės aktai, pagal kuriuos viešosios valdžios institucijai, kuriai pavesta ginti autorių ir gretutines teises nuo pažeidimų internete, leidžiama susipažinti su viešai prieinamų elektroninių ryšių paslaugų teikėjų saugomais IP adresus atitinkančiais civilinės tapatybės duomenimis, kuriuos iš anksto surinko teisių turėtojų organizacijos, kad ši valdžios institucija galėtų nustatyti tokių adresų, naudojamų veiklai, kuri gali būti pripažinta pažeidimu, turėtojus, ir prireikus imtis priemonių jų atžvilgiu, su sąlyga, kad pagal šiuos teisės aktus:
– šie duomenys saugomi laikantis sąlygų ir techninės tvarkos, užtikrinančios, kad toks saugojimas neleis padaryti tikslių išvadų apie šių IP adresų turėtojų privatų gyvenimą, pavyzdžiui, nustatant išsamų jų profilį, o tai galima padaryti visų pirma nustatant elektroninių ryšių paslaugų teikėjams pareigą saugoti įvairių kategorijų asmens duomenis, kaip antai civilinės tapatybės duomenis, IP adresus, taip pat srauto ir vietos nustatymo duomenis, užtikrinant veiksmingą šių skirtingų kategorijų duomenų atskyrimą, užkertant kelią tam, kad būtų susiejami šių skirtingų kategorijų duomenys, ir ne ilgiau, nei griežtai būtina,
– šios valdžios institucijos prieiga prie tokių atskirai saugomų duomenų skirta tik tam, kad būtų nustatytas asmuo, įtariamas padaręs nusikalstamą veiką, ir tokiai prieigai būtų taikomos būtinos garantijos, kad, išskyrus netipines situacijas, ji neleistų padaryti tikslių išvadų apie IP adresų turėtojų privatų gyvenimą, pavyzdžiui, nustatant išsamų jų profilį, o tai visų pirma reiškia, kad šios institucijos pareigūnams, įgaliotiems turėti tokią prieigą, draudžiama bet kokia forma atskleisti informaciją apie rinkmenų, su kuriomis susipažino šie turėtojai, turinį, išskyrus atvejus, kai siekiama kreiptis į prokuratūrą, sekti šių adresų savininkų naršymo kelius ir apskritai naudoti šiuos IP adresus kitais tikslais, nei siekiant imtis priemonių prieš tokių adresų turėtojus,
– galimybė asmenims, atsakingiems už minėtos valdžios institucijos atliekamą faktinių aplinkybių nagrinėjimą, susieti tokius duomenis su rinkmenomis, kuriose yra duomenų, leidžiančių nustatyti saugomų kūrinių, kurių padarymas prieinamų pateisina teisių turėtojų organizacijų atliekamą IP adresų rinkimą, pavadinimus, jeigu tas pats asmuo vėl pradeda vykdyti veiklą, kuria pažeidžiamos autorių ar gretutinės teisės, būtų suteikiama su sąlyga, kad taikoma teismo arba nepriklausomos administracinės institucijos kontrolė, kuri negali būti visiškai automatizuota ir turi būti atlikta prieš susiejant duomenis su rinkmenomis, nes tokiais atvejais gali būti įmanoma padaryti tikslias išvadas apie asmens, kurio IP adresas buvo naudojamas veiklai, galinčiai pažeisti autorių ar gretutines teises, privatų gyvenimą,
– valdžios institucijos naudojamą duomenų tvarkymo sistemą reguliariai tikrintų nepriklausoma įstaiga, kuri yra su ta institucija nesusijusi trečioji šalis, siekiant patikrinti sistemos vientisumą, įskaitant veiksmingas apsaugos priemones nuo piktnaudžiavimo pavojaus ir nuo bet kokios neteisėtos prieigos prie tų duomenų ar jų neteisėto naudojimo, taip pat jos veiksmingumą ir patikimumą nustatant galimus trūkumus.
Parašai.